Среди новых возможностей VMware vSphere 8 Update 3 было улучшение механизма быстрого обновления vCenter Reduced Downtime (анонсирован он был еще в vSphere 8 Update 2). Сегодня мы рассмотрим его подробнее.
Обновление с сокращением времени простоя (Reduced Downtime Update, RDU) использует метод миграции для перехода с одной сборки vCenter на более новую сборку vCenter. Это похоже на существующий метод выполнения крупного обновления vCenter, например, с версии 7 на версию 8, но имеет значительное отличие.
При использовании метода на основе миграции, развертывается новый виртуальный модуль vCenter, и все данные и конфигурации vCenter копируются с текущего vCenter на новый экземпляр последней версии. Основное отличие заключается в том, что во время этой фазы копирования данных и конфигурации текущий vCenter и все его службы остаются онлайн, и vCenter может продолжать свою работу. При этом время простоя службы vCenter составляет всего несколько минут, в этот промежуток текущие службы vCenter останавливаются, а новые службы vCenter запускаются. Обычно это занимает менее 5 минут.
Обновление vCenter с сокращением времени простоя можно использовать для обновления любой версии и топологии vCenter 8 до версии 8 Update 3 или более поздней.
Что нового в vSphere 8 Update 3 для RDU?
Новая поддержка топологий
В vSphere 8 Update 3, обновление vCenter с сокращением времени простоя поддерживает все топологии развертывания vCenter:
Non self-managed: ВМ vCenter управляется другим vCenter (должен быть версии 7.0 или более поздней).
Связанный режим (Enhanced Linked Mode): два или более экземпляра vCenter, участвующие в одном домене SSO. Не обновляйте несколько экземпляров vCenter параллельно, если они связаны через Enhanced Linked Mode.
vCenter HA: экземпляры vCenter, настроенные для высокой доступности.
vCenter HA автоматически удаляется перед началом обновления и автоматически реактивируется после завершения обновления.
Обе топологии self-managed и non self-managed для vCenter HA поддерживаются для обновления с сокращением времени простоя.
Экземпляры vCenter HA должны быть как минимум версии vCenter 8 Update 2, чтобы позволить обновлению RDU координировать операцию. Для версий ранее vCenter 8 Update 2, вы можете вручную деактивировать vCenter HA, использовать обновление RDU и вручную реактивировать vCenter HA.
Вам не нужно сначала обновляться до vCenter 8 Update 3, чтобы начать использовать обновление RDU. Вы можете использовать обновление с сокращением времени простоя для вышеуказанных топологий, чтобы обновить экземпляры vCenter, работающие на версии 8.0 и более поздних, до версии 8.0 Update 3 и более поздних. Например, вы можете использовать обновление с сокращением времени простоя, чтобы обновить vCenter 8 Update 1 в режиме Enhanced Linked Mode до vCenter 8 Update 3.
Автоматическое переключение
У вас есть новая опция для автоматического завершения фазы переключения, либо вы можете вручную инициировать фазу переключения.
Если у вас нет полноценного способа резервирования конфигураций серверов ESXi, но вы задумались о том, что будет если, то вот тут есть простой и свежий сценарий, который позволить вам сделать бэкап конфигурации и восстановить конфигурацию хостов ESXi.
Автор не хотел вручную создавать резервные копии каждого ESXi хоста, так как это не масштабируется. Вместо этого он создал PowerShell скрипт под названием vCenter ESXi Config Backup, который выполняет в автоматическом режиме.
Скрипт vCenter ESXi config backup подключается к VMware vCenter, далее использует его для подключения к каждому ESXi хосту и последовательно создает резервную копию каждой конфигурации. Поскольку скрипт использует vCenter, вам не нужно включать SSH на каких-либо ESXi хостах для выполнения резервного копирования.
По умолчанию, скрипт предполагает, что вы не подключены к vCenter, и запросит вас подключиться к vCenter. Вы можете изменить это поведение, если вы уже подключены к vCenter, установив опциональный параметр connected со значением Yes.
Скрипт проверяет, существует ли указанная вами папка для резервного копирования. Если папка не существует, скрипт создаст ее.
Затем скрипт получает все ESXi хосты в vCenter, подключается к каждому из них и создает резервную копию конфигурации. Скрипт сохраняет резервную копию в указанную вами папку.
После завершения резервного копирования скрипт переименовывает файл резервной копии, добавляя к имени хоста установленную версию ESXi, номер сборки и дату резервного копирования.
Для использования скрипта необходимо предоставить несколько параметров. Первый параметр — vcenter, за которым следует FQDN-имя вашего vCenter. Второй параметр — folder, за которым следует расположение, куда вы хотите сохранить резервные копии конфигурации ESXi.
Выглядит это как-то так (только вместо vpxd написано vmidentity):
При этом некоторые пользователи могут откатиться (Rollback) к исходному дистрибутиву, а у кого-то этот селектор неактивен (загреен). При обращении в техподдержку VMware пользователям было сказано, что на эту тему готовится KB, а пока можно воспользоваться приведенным ниже воркэраундом.
Проблема связана с некорневым сертификатом с псевдонимом ssoserver. В VMware есть внутренний документ по этой проблеме, но он пока не доступен публично. Вот шаги, которые VMware предоставляет для исправления:
1. Подключитесь по SSH к серверу vCenter
2. Выведите список сертификатов и определите псевдоним некорневого (Non-CA) сертификата с CN=ssoserver
/usr/lib/vmware-vmafd/bin/vecs-cli entry list --store TRUSTED_ROOTS --text | egrep 'Alias|ssoserver|Key Usage' -A 1 | egrep -v 'Entry type|--'
3. Сделайте резервную копию сертификата, который показывает CN=ssoserver
Примечание: замените <Alias> на идентификатор псевдонима, определенный на предыдущем шаге.
5. Повторно выведите список сертификатов и убедитесь, что сертификат удален
/usr/lib/vmware-vmafd/bin/vecs-cli entry list --store TRUSTED_ROOTS --text | egrep 'Alias|ssoserver|Key Usage' -A 1 | egrep -v 'Entry type|--'
Теперь можно продолжить обновление vCenter.
Правда у некоторых пользователей после удаления сертификата возникает ошибка, и неясно, нужно ли вручную восстанавливать сертификат после наката обновления. Ждем разъяснений VMware на эту тему.
Интересный пост от John Nicholson о размещении сервера VMware vCenter в растянутом кластере vSAN Stretched Cluster. В идеальном мире у вас есть управляющий кластер, который содержит ваш сервер vCenter, а вы управляете каждым кластером из него. Но, к сожалению, в реальном мире всё сложнее:
Необходимо тоже как-то управлять управляющим кластером.
Иногда нужно, чтобы кластер был полностью автономным.
Можно ли запустить сервер vCenter на управляемом им кластере?
Надо сказать, что всегда полностью поддерживался запуск сервера vCenter на управляемом им кластере. Высокая доступность (HA) в этом случае всё равно будет работать. Если вам нужно более подробно изучить этот вопрос, этот короткий видеоролик ответит на ваш вопрос.
Итак, какой лучший совет при размещении vCenter?
Используйте ephemeral port groups для всех управляющих сетей. Это предотвратит проблемы chicken-egg с виртуальными распределенными коммутаторами (vDS), которые раздражают, но с которыми можно справиться.
Автор предпочитает использовать правила DRS типа "SHOULD", чтобы vCenter "как правило" находился на узле с наименьшим номером или IP-адресом в кластере. Это полезно в ситуации, когда vCenter работает с ошибками и службы управления не запускаются, так как это упрощает поиск узла, на котором он работает. Обязательно избегайте использования правил "MUST" для этого, так как это не позволит vCenter запуститься в другом месте в случае сбоя данного узла.
А как насчет распределенного кластера? Например, у вас есть отдельный хост для запуска сервера Witness, стоит ли размещать его там?
Вот такое делать не рекомендуется. Всегда предпочтительнее запускать сервер vCenter там, где он будет защищен с помощью высокой доступности (HA), и ему не потребуется выключение для обновления хоста. Растянутые кластеры vSAN всегда поддерживают операции active/active, и многие клиенты часто настраивают их так, чтобы большинство рабочих нагрузок выполнялись в предпочтительном датацентре (preferred site). Если вы используете эту конфигурацию, рекомендуется запускать сервер vCenter во вторичном (secondary) местоположении по нескольким причинам:
В случае сбоя основного сайта, вы не останетесь «операционно слепым», поскольку HA со стороны vCenter будет активирована и восстановит рабочие нагрузки. Это снизит любые операционные простои, которые могли бы произойти в течение нескольких минут, пока сервер vCenter запустится на резервном узле основного сайта.
Он будет действовать как указатель на состояние здоровья вторичного датацентра. В целом полезно иметь какую-то рабочую нагрузку на вторичном сайте, чтобы понимать, как будут работать эти хосты, даже если это будет относительно легкая нагрузка.
На днях компания VMware выпустила финальную версию vCenter Converter Standalone 6.6, где было сделано несколько улучшений и нововведений на базе обратной связи от пользователей, в том числе последней бета-версии.
Давайте посмотрим, что нового в Converter 6.6:
Добавлена поддержка миграции включенных виртуальных машин, запущенных на платформах Red Hat KVM и Nutanix AHV
Вспомогательный ISO-образ vCenter Converter helper перенесен на операционную систему Photon OS
Добавлена поддержка ОС Red Hat Enterprise Linux 8.0 (64-bit) и более поздних минорных версий
Добавлена поддержка ОС Red Hat Enterprise Linux 9.0 (64-bit) и более поздних минорных версий
Добавлена поддержка ОС Ubuntu Linux 18.04 LTS (64-bit)
Добавлена поддержка ОС Ubuntu Linux 20.04 LTS (64-bit)
Добавлена поддержка ОС Ubuntu Linux 22.04 LTS (64-bit)
Обновлены иконки в графическом интерфейсе консоли Converter
Скачать VMware vCenter Converter Standalone 6.6.0 можно по этой ссылке. Документация доступна тут.
100 GiB пробной емкости хранения на каждое ядро vSAN - начиная с vSphere 8.0 Update 2b, в рамках предложения VMware vSphere Foundation, вы можете использовать до 100 гибибайт (GiB) хранилища vSAN на каждое лицензированное ядро хоста vSAN без применения лицензионного ключа vSAN. Для емкости, превышающей 100 GiB на каждое ядро vSAN, вы можете приобрести емкость vSAN на тебибайт (TiB) и применить ключ vSAN, отражающий общую сырую емкость хранилища кластера vSAN. Для получения дополнительной информации о отчетах по емкости и лицензировании vSAN смотрите "Разъяснение отчетности по емкости в vSAN" и "Подсчет ядер для VMware Cloud Foundation и vSphere Foundation и TiB для vSAN".
Добавлена поддержка технологии vSphere Quick Boot для множества серверов:
Исправлена ошибка с необнаружением Apple NVMe на Apple Mac Mini 2018. Об этом написал Вильям Лам.
Более подробно об обновлении VMware ESXi 8.0 Update 2b написано в Release Notes.
Что нового появилось VMware vCenter Server 8.0 Update 2b:
Агрегация статистики по GPU на уровне хоста и кластера - в этом обновлении vCenter вы можете отслеживать агрегацию метрик GPU на уровне хоста и кластера, что полезно для нагрузок генеративного искусственного интеллекта, традиционных нагрузок AI и других, ускоренных с помощью GPU. В клиенте vSphere, в разделе Monitor > Performance, вы увидите:
на уровне хоста: обзорные диаграммы производительности и расширенные диаграммы производительности для использования вычислений на GPU, распределения памяти и температуры на хостах.
на уровне кластера: расширенные диаграммы производительности с агрегированной статистикой от хостов для памяти GPU и использования GPU.
Ransomware стало настоящей напастью последних лет - выплаты компаний злоумышленникам, зашифровавшим данные и держащим их в заложниках, перевалили за миллиард долларов в прошлом году (и это только то, что известно). Серверы VMware ESXi и vCenter, являющиеся основными компонентами инфраструктуры vSphere, представляют главную мишень для атак Ransomware.
В рамках конференции VMware Explore Europe 2023 прошла интересная сессия, где рассматривались примеры из реального мира по борьбе с программами-вымогателями, а также обсуждались проактивные методики, которые позволят избежать атаки или минимизировать последствия:
Вот основные выводы, которые суммаризуют выступление выше:
1. vSphere является привлекательной целью для атак программ-вымогателей, что делает крайне важной защиту вашей среды vSphere от таких угроз.
2. Важно провести различие между защитой рабочих нагрузок (виртуальные машины, серверы, клиенты, AD) и защитой инфраструктурной платформы (vSphere, хранилище и т.д.), поскольку каждое требует различных мер безопасности. Эти аспекты должны быть отделены друг от друга.
3. Понимание путей атаки, ведущих к появлению программы-вымогателя в инфраструктуре vSphere, является ключевым. Эти пути включают начальный доступ, использование Active Directory и различные способы добраться и атаковать vCenter Server и ESXi.
4. Восстановление среды vSphere после атаки не должно включать в себя выплату выкупа. Платеж атакующим увеличивает риск будущих атак и не гарантирует полного решения проблемы.
5. Наличие и целостность резервных копий критически важны для восстановления. Важно обеспечить, чтобы резервными копиями нельзя было манипулировать и что их можно было успешно восстановить.
6. Очистка и восстановление скомпрометированных компонентов, таких как виртуальные машины, vCenter Server и хосты ESXi после атаки, требует тщательного рассмотрения и технического анализа (форензика).
7. Для защиты vSphere от атак должны быть предприняты несколько мер, включая сегментацию vSphere от рабочих нагрузок и клиентов, использование EDR/XDR/SIEM для конечных точек и vSphere, установку обновлений безопасности и следование рекомендациям по защите платформы vSphere.
8. Предотвращение выполнения стороннего кода в ESXi может быть достигнуто через настройки, такие как execInstalledOnly, которые предотвращают выполнение нежелательных файлов и скриптов.
9. UEFI Secure Boot может использоваться для проверки целостности файлов загрузки и ядра ESXi, что защищает от угроз с использованием неподписанных VIB.
10. Деактивация доступа к Shell для не-root пользователей ESXi может предотвратить боковое движение от vCenter к ESXi, что является важной мерой для остановки или замедления атакующего.
В начале 2022 года мы рассказывали о ситуации вокруг продукта VMware vCenter Converter, предназначенного для миграции физических и виртуальных серверов в онпремизную и облачную среду VMware vSphere. На тот момент Converter был убран из списка доступных загрузок из соображений обеспечения совместимости, стабильности и безопасности, так как продукт многие годы не развивался - последний релиз VMware vCenter Converter был от мая 2018 года (там была и его версия VMware Converter Standalone), хотя, по-сути, не обновлялся он несколько лет и до этого.
На днях VMware выпустила обновленную бета-версию VMware vCenter Converter Standalone 6.6.0 BETA, которая уже доступна для загрузки после регистрации в программе бета-тестирования.
После успеха двух предыдущих версий, которые в сумме набрали более 200 тысяч загрузок, VMware предоставила новую версию этого инструмента. Бета-версия и документация доступны для скачивания на специализированном веб-сайте. Если вы еще не зарегистрировались в программе бета-тестирования vCenter Converter, вы можете сделать это, отправив эту форму.
vCenter Converter 6.6 закрывает важные пробелы с функциональной точки зрения, наконец предоставляя возможность конвертировать нагрузки на основе KVM, включая форматы AHV и RHV. Также поддерживаются RHEL 8 и 9 в качестве исходных ОС, а также последние версии Ubuntu - 22.04 и 20.04.
Новый бета-релиз поставляется с немного обновленным внешним видом в рамках процесса модернизации пользовательского интерфейса продуктов VMware.
Для тех, кто не знаком с этим продуктом, vCenter Converter - это бесплатный самостоятельный инструмент, предоставляющий возможность конвертировать виртуальные машины, работающие на сторонних гипервизорах и включенных физических серверах, в виртуальные машины VMware.
Запланированная к выпуску версия vCenter Converter 6.6 поддерживает конвертацию нагрузок, основанных на MS Hyper-V, AWS EC2, Nutanix AHV, Red Hat RHV и нативном KVM. Также вы можете проводить конвертацию между виртуальными форматами VMware (Workstation, Fusion) и переконфигурировать виртуальные машины VMware под разные платформы. vCenter Converter поддерживает виртуальные нагрузки, работающие на Windows, Linux Ubuntu, CentOS и Red Hat Enterprise Linux.
На днях компания VMware выпутсила большое обновление утилиты vSphere Diagnostic Tool версии 2.0.1, которая теперь называется VCF Diagnostic Tool for vSphere (VDT). Напомним, что это python-скрипт, который запускает диагностические команды на виртуальном модуле Photon OS (на его базе построен, например, vCenter Server Appliance, где скрипт и нужно запускать), а также в перспективе это будет работать и в среде VMware ESXi. О предыдущем обновлении vSphere Diagnostic Tool (VDT) мы писали вот тут.
VDT 2 был переписан с нуля с целью эволюции от простой коллекции скриптов на Python к фреймворку для отчётности о состоянии инфраструктуры на основе Python. Новая версия предоставляет библиотеки, которые стандартизируют вывод и формат каждой проверки. Это означает, что скоро будет доступна совместимость с дополнительными продуктами от VMware.
Итак, с помощью скрипта вы сможете выполнить следующие проверки состояния инфраструктуры:
Вывод базовой информации о vCenter
Проверки SSO (Lookup Service и Machine ID)
Интеграция с Active Directory
Сертификаты vCenter
Функциональность VMdir
Core-файлы
Использование базы данных vPostgres
Использование дискового пространства
Функционирование DNS
Синхронизация времени и функционирование NTP
Валидность аккаунта Root
Службы vCenter
Проверка механизма VCHA
Функционирование Syslog
Проверки IWA/AD
Проверка Local Identity Source
Для начала работы вы можете воспользоваться следующими статьями базы знаний VMware
Давно мы не писали о сбросе паролей элементов виртуальной инфраструктуры VMware vSphere. Сегодня мы поговорим о том, как сделать это для основного компонента - виртуального модуля vCenter Server Appliance (vCSA), который построен на базе операционной системы Photon OS.
Во время установки vCenter Server Appliance мы задаем пароль Root, с которым мы можем получать доступ в графическую консоль vCenter Management (VAMI) и командную строку.
По умолчанию задано устаревание пароля в 90 дней. Это можно изменить, выставив Password expires в значение No:
Если пройдет 90 дней, и вы не смените пароль, то при попытке логина в VAMI вы увидите вот такой экран:
Если вы просто забыли пароль Root, то будет вот так:
1. Вы помните пароль root, но он устарел
В этом случае мы сможем залогиниться в консоль VCSA и по SSH для смены пароля.
Открываем консоль VCSA, нажимаем F2, после чего мы можем ввести пароль. В этом случае устаревший пароль подойдет:
После этого переходим в раздел Configure Root Password, где можно поменять пароль:
Второй способ - это зайти в консоль сервера vCenter по SSH. Для смены пароля можно использовать следующую команду:
# passwd root
2. Вы не помните пароль root
Перезагрузите сервер vCenter Server Appliance и после того, как система Photon OS стартанет, нажмите клавишу <e>, чтобы зайти в редактор загрузчика GNU GRUB.
Найдите строчку, которая начинается словом linux, и добавьте в ее конец следующую строчку:
rw init=/bin/bash
После этого нажмите кнопку F10 для продолжения загрузки.
Затем вам нужно будет последовательно ввести две следующих команды:
mount -o remount,rw /
passwd
После этого вы сможете задать новый пароль пользователя root.
Затем последовательно выполняем две следующих команды, вторая из которых перезагрузит сервер vCSA:
umount /
reboot -f
Затем вы можете логиниться пользователем root с новым паролем.
Администраторы платформы виртуализации VMware vSphere в рамках ежедневной рутины занимаются процессами обновлений виртуальной инфраструктуры и ее компонентов путем накатывания патчей или проведения апгрейдов (в том числе наиболее сложных - на новые мажорные версии). Наиболее удобный способ делать это - использовать решение vSphere Lifecycle Manager (vLCM), который автоматизирует этот процесс. Это следующее поколение продукта vSphere Update Manager (VUM), который ранее использовался для планирования и накатывания обновлений...
С будущим крупным выпуском vSphere компания VMware планирует ввести режим строгой безопасности для vCenter (strong security mode), отражающий позицию безопасности VMware, который будет рекомендован к применению партнерам и клиентам в их операциях по управлению виртуальной инфраструктурой.
В строгом режиме не поддерживается SHA-1 как функция криптографического хеширования. VMware рекомендует заменить ее более безопасным и поддерживаемым SHA-256. Строгий режим также поддерживает полные SSL-сертификаты в качестве механизма обмена доверием, что может повлиять на некоторые API vSphere, использующие certificate thumbprints в качестве аргументов или как часть ответа API. Такие API могут не поддерживаться при включенном строгом режиме.
Параллельно со строгим режимом будет поддерживаться совместимый режим безопасности (compatible security mode) в целях обратной совместимости. Совместимый режим все еще поддерживает SHA-1 в качестве функции криптографического хеширования и опирается на certificate thumbprints для SSL-сертификатов как на действительный источник доверия. Использование совместимого режима не будет рекомендовано. Переключение между режимами будет происходить через свойство виртуального модуля vCenter Server Appliance. Подробная информация будет предоставлена в документации следующего выпуска vSphere.
Как будут выглядеть апгрейды существующих инфраструктур?
Начиная с грядущего крупного выпуска, все новые развертывания экземпляров vCenter будут настроены с включенным по умолчанию режимом строгой безопасности. При этом будут затронуты все решения партнеров, зависящие от устаревших алгоритмов криптографического хеширования, таких как SHA-1 или MD5. Клиенты смогут переключиться на compatible-режим, но он будет считаться устаревшим и не рекомендоваться VMware.
Обновленные до следующей версии экземпляры vCenter, ранее функционировавшие в уже существующих развертываниях, будут продолжать работать в режиме совместимости, установленном по умолчанию, если клиент не переключился на строгий режим до обновления vCenter. Таким образом, VMware рассчитывает, что клиенты будут применять самые строгие настройки безопасности, доступные в настоящее время. Это изменение повлияет и на плагины vSphere Client, использующие SHA-1 при регистрации в менеджере расширений vSphere. Отказ от адаптации к требованиям режима строгой безопасности vCenter повлечет за собой риск того, что соответствующий плагин vSphere Client станет непригодным для использования.
Влияние на плагины vSphere Client
Переход с SHA-1 на SHA-256
Все партнеры VMware должны иметь в виду, что начиная с предстоящего крупного выпуска, плагины vSphere Client, использующие устаревший стандарт SHA-1, не будут поддерживаться, когда в инфраструктуре клиента включен режим строгой безопасности vSphere. Чтобы решить эту проблему и обеспечить совместимость своих решений, VMware настоятельно советует партнерам убедиться, что версии плагинов vSphere Client, которые они предлагают сейчас, поддерживают SHA-256 в качестве алгоритма шифрования.
Алгоритм SHA-1 находится в состоянии устаревания с момента выпуска vSphere 7.0 Update 1. VMware дала возможность для плагинов vSphere Client регистрироваться в менеджере расширений с использованием SHA-256 в качестве алгоритма хеширования с выпуском vSphere 7.0 Update 3. Как следующий шаг в этом процессе, для предстоящего крупного выпуска vSphere, плагинам необходимо отказаться от использования SHA-1 в качестве функции криптографического хеширования.
Переход от certificate thumbprints к полным SSL-сертификатам
Вместе с миграцией с SHA-1, функции расширений клиента vSphere постепенно переходят к использованию полных SSL-сертификатов для регистрации плагинов. Полная поддержка сертификатов была введена для Client SDK с выпуском vSphere 8.0 Update 2. Выполнение полной проверки SSL-сертификата во время SSL handshake более безопасно, чем проверка отпечатка SSL-сертификата, даже если плагин уже использует отпечаток SSL-сертификата SHA-256.
Чтобы обеспечить совместимость плагинов в обе стороны сейчас партнерам рекомендуется предоставлять свои решения с возможностью регистрации у менеджера расширений клиента vSphere, используя как сертификат, так и отпечаток. Это необходимо, потому что в некоторых средах могут быть экземпляры vCenter, которые не поддерживают сертификаты, и которые могут попытаться загрузить новую версию плагина, зарегистрированную только с сертификатом.
Например, они могут применить certificate thumbprint (используя SHA-256 в качестве алгоритма хеширования) для регистрации с vCenter, работающим на версии 8.0 U1 или ранее, и полный SSL-сертификат для vCenter 8.0 U2 или более поздней версии.
Локальные плагины уходят в прошлое
Плагины vSphere Client, основанные на устаревшей локальной архитектуре плагинов вскоре уже не будут поддерживаться. Локальные плагины были объявлены устаревшими с момента выпуска vSphere 8.0 GA, и их поддержка прекращается со следующим крупным релизом vSphere.
Всем партнерам VMware необходимо предоставить своим клиентам версию плагина, основанную на удаленной архитектуре плагинов, чтобы они могли продолжить использование партнерского решения в следующем релизе vSphere.
Переход на TLS 1.3
Начиная с предстоящего обновления vSphere, VMware будет поддерживать протокол безопасности транспортного уровня TLS версии 1.3 вместе с устаревшим TLS 1.2, который включен по умолчанию. В следующем крупном выпуске TLS 1.2 и TLS 1.3 будут сосуществовать, и конфигурация vCenter по умолчанию будет поддерживать обе версии протокола. Однако в следующем релизе vSphere будет введен настраиваемый режим vCenter, поддерживающий только TLS 1.3.
VMware настоятельно рекомендует партнерам подумать о добавлении поддержки TLS 1.3 в их плагины, чтобы эти решения нормально работали во всех конфигурациях vCenter.
24 октября компания VMware выпустила критическое уведомление о безопасности VMSA-2023-0023 (уязвимости CVE-2023-34048 и CVE-2023-34056), в котором рассматриваются обнаруженные и устраненные уязвимости безопасности в vCenter Server, которые присутствуют в продуктах VMware vSphere и Cloud Foundation.
Эти уязвимости связаны с управлением памятью и ее повреждением (Out-of-Bounds Write Vulnerability), которые могут быть использованы для удаленного выполнения кода против служб VMware vCenter Server.
Матрица реагирования на обнаруженную уязвимость для разных версий vCenter выглядит следующим образом:
С выпуском обновления платформы виртуализации VMware vSphere 8 Update 2 компания VMware ввела еще один способ апгрейда сервисов управления виртуальной инфраструктурой
vCenter Server Appliance 8.0 до Update 2, который теперь можно сделать методом Switchover. Это подразумевает развертывание нового экземпляра vCSA, на который по окончании апгрейда будет переключено управление виртуальной инфраструктурой vSphere.
Проапгрейдить на Update 2 вы можете vCenter 8 следующих версий (естественно, вы сможете апгрейдить и сам vCSA 8 U2 на последующие релизы в дальнейшем):
8.0 GA 8.0 U2
8.0 U1 8.0 U2
8.0 P02 8.0 U2
Суть нового метода описана в KB 92659, мы приведем здесь лишь основные шаги:
1. Монтируем ISO-образ c vCenter Server Appliance 8.0 до Update 2
2. Делаем бэкап vCenter на уровне файлов (это обязательно)
3. Обновляем плагин vCenter Server Lifecycle Manager в Upgrade Planner
4. Настраиваем новый модуль vCenter Server Appliance 8.0 Update 2 (это можно делать и для минорных апдейтов)
5. Запускаем предварительную фазу апгрейда (Prepare upgrade stage) с установкой временного IP
6. Запускаем процесс Switchover, во время которого произойдет остановка предыдущего виртуального модуля vCenter Server, перебивка IP-адресации и переключение на новый экземпляр vCSA
Если вы откроете VMware vSphere Client и посмотрите на список виртуальных дисков, прикрепленных к виртуальному модулю (Virtual Appliance) сервера vCenter, то вы увидите там аж 17 виртуальных дисков VMDK. Многие администраторы удивляются - а не многовато ли это?
Для VMware vSphere 7 список дисков и их назначение указаны в статье базы знаний KB 78515 (их там 16), ну а ниже мы расскажем о семнадцати VMDK для VMware vSphere 8:
Номер VMDK
Размер, ГБ
Точка монтирования
Описание
1
48
/boot
Директория, где хранятся образы ядра и конфигурации загрузчика
2
5.5
/tmp
Директория для хранения временных файлов, создаваемых или используемых службами vCenter Server
3
25
SWAP
Директория, используемая при нехватке памяти в системе для выгрузки на диск
4
25
/storage/core
Директория, где хранятся дампы ядра процесса VPXD сервера vCenter
5
10
/storage/log
Директория, где vCenter Server и Platform Services Controller хранят все журналы для виртуального окружения
6
10
/storage/db
Расположение хранилища базы данных VMware Postgres
7
15
/storage/dblog
Расположение журналов базы данных VMware Postgres
8
10
/storage/seat
Директория для статистики, событий, алертов и задач (SEAT) для VMware Postgres
9
1
/storage/netdump
Репозиторий сборщика Netdump от VMware, в котором хранятся дампы ESXi
10
10
/storage/autodeploy
Репозиторий VMware Auto Deploy, который хранит пакеты для stateless-загрузки хостов ESXi
11
10
/storage/imagebuilder
Репозиторий VMware Image Builder, который хранит профили образов vSphere, программные репозитории и пакеты VIB, такие как драйверы и обновления.
12
100
/storage/updatemgr
Репозиторий VMware Update Manager, где хранятся патчи и обновления для виртуальных машин и хостов ESXi
13
50
/storage/archive
Расположение Write-Ahead Logging (WAL) базы данных VMware Postgres
14
10
/storage/vtsdb
Репозиторий службы VMware vTSDB, который хранит статистику
15
5
/storage/vtsdblog
Репозиторий службы VMware vTSDB, который хранит журналы этой службы
16
100
/storage/lifecycle
Стейджинговая директория службы Workload Control Plane или программный депозиторий, в котором хранятся бинарные файлы для установки и обновления/модернизации платформы
17
150
/storage/lvm_snapshot
Директория для временного хранения содержимого system root
На этот раз мы расскажем об одном из главных для администраторов виртуальной среды анонсов - релизе платформы VMware vSphere 8 Update 2. Надо сразу сказать, что в третьем квартале будет доступен не только второй пакет обновлений последней версии платформы, но и нововведения облачной подписки vSphere+, о которой мы уже рассказывали.
Итак, давайте посмотрим, что нового в vSphere 8 U2:
1. Повышение операционной эффективности
В этом релизе VMware уделила особое внимание управлению жизненным циклом. Обновления vSphere в больших средах иногда могут быть сложными, так как они часто охватывают всю внутреннюю инфраструктуру, работая иногда на сотнях или тысячах систем. С регулярными улучшениями, патчами и исправлениями безопасности, VMware vSphere должна быстро и легко обновляться. Этот выпуск делает огромный шаг вперед для достижения этой цели. Кроме управления жизненным циклом, VMware облегчила IT-администраторам централизованное управление аутентификацией, продолжая расширять поддержку сторонних поставщиков идентификации.
Давайте посмотрим подробнее:
Служба управления жизненным циклом ESXi – особенно важным нововведением является новый облачный сервис в vSphere+, который позволяет администраторам централизованно оркестрировать обновления на всем их парке хостов ESXi. Множество операций жизненного цикла (такие как патчи и обновления) должны выполняться учетом сервисов VMware vCenter и границ кластера. Новый облачный сервис, доступный клиентам vSphere+, позволит IT-администраторам обновлять весь парк одинаково настроенных хостов ESXi через несколько серверов vCenter и кластеров одной операцией и централизованно отслеживать ход выполнения из Cloud Console. Рассмотрим пример: с традиционным vSphere, одно обновление требуется для каждого кластера хостов ESXi, и максимальное количество хостов на кластер - 32. Предположим, у пользователя есть 32 000 хостов ESXi, распределенных по 1 000 кластерам. Чтобы обновить весь их парк ESXi, пользователю потребуется выполнить 1 000 отдельных операций обновления. С сервисом управления жизненным циклом ESXi требуется всего одно обновление для каждой стандартной конфигурации оборудования, независимо от количества кластеров. Большинство IT-организаций стандартизируют свои конфигурации оборудования, поэтому в этом случае разумно предположить, что у этого клиента может быть всего около 3-5 стандартных конфигураций оборудования (в зависимости от того, у скольких поставщиков серверов они покупают). Это означает, что они могут обновить весь свой парк ESXi всего за 3-5 операций обновления, что составляет малую долю от 1 000 обновлений, необходимых с традиционным развертыванием vSphere. С сервисом управления жизненным циклом ESXi обновления потребуют гораздо меньше времени и усилий и могут выполняться чаще, позволяя клиентам оставаться более защищенными от ошибок и использовать все последние возможности ESXi.
Кстати, теперь есть возможность попробовать существующие и новые функции vSphere+ перед покупкой:
Сокращение времени простоя при обновлении vCenter – впервые это было введено для клиентов vSphere+ в прошлом году, но теперь доступность этой функции расширена для всех версий vSphere. Во время обновления время простоя vCenter сокращается примерно с часа до нескольких минут (реальное время может отличаться). По сути, это время, необходимое для завершения работы служб на старом vCenter и запуска служб на новом. Таким образом, необходимые плановые окна обслуживания стали гораздо короче. Обновления можно проводить чаще, так как это гораздо проще сделать, тем самым оперативно переходить на последние версии vCenter.
Поддержка Microsoft Entra ID (ранее Azure AD) для федерации идентификаторов – за последние пару лет VMware постоянно расширяла поддержку сторонних поставщиков идентификации, включая Microsoft Active Directory Federation Service (ADFS) и недавно была добавлена служба Okta Identity Service. С этим выпуском эта поддержка расширяется далее, включая Microsoft Entra ID (ранее Azure AD). Когда аутентификация обрабатывается сторонним поставщиком идентификации, таким как Entra ID, аутентификация больше не обрабатывается vSphere. Поскольку логины и пароли больше не хранятся внутри vSphere, проверки безопасности проходят проще, быстрее или вообще не требуются.
2. Повышение производительности рабочих нагрузок
С сенсационным появлением ChatGPT в ноябре 2022 года в индустрии возник огромный интерес к генеративному ИИ (GenAI). К январю 2023 года ChatGPT стал самым быстрорастущим потребительским программным приложением в истории, получив более 100 миллионов пользователей. В результате GenAI теперь является стратегическим приоритетом для многих организаций. vSphere была на переднем крае ИИ с момента введения AI-Ready Enterprise Platform в марте 2021 года, и с этим последним выпуском VMware продолжает масштабировать и совершенствовать технологию виртуализации GPU. Наряду с улучшениями, связанными с ИИ, VMware также расширяет доступность технологии Data Processing Unit (DPU) на большем количестве аппаратных платформ, чтобы клиенты могли ощутить эти преимущества производительности.
Тут появились следующие вещи:
Увеличение максимального количества устройств vGPU на VM с 8 до 16 – большие рабочие нагрузки (особенно ИИ) продолжают требовать все больше и больше мощности GPU. В этом последнем выпуске было увеличено максимальное количество устройств vGPU, которое может быть назначено одной ВМ, до 16, что удвоило верхний предел производительности для больших рабочих нагрузок. Для ИИ это означает, что вы можете сократить время обучения моделей AI/ML и запускать модели самого высокого класса с большими наборами данных.
Размещение рабочих нагрузок и балансировка нагрузки с учетом GPU в DRS – VMware обнаружила сценарии, в которых рабочие нагрузки могут не полностью использовать доступные ресурсы GPU. Чтобы решить эти проблемы, был улучшен механизм балансировки нагрузки. Теперь DRS учитывает размеры профилей vGPU и объединяет vGPU одного размера на одном хосте. Это также помогает с начальным размещением при включении машин с поддержкой GPU, что позволяет избежать потери емкости GPU из-за фрагментации. Размещение рабочей нагрузки и балансировка нагрузки теперь учитывает GPU, и DRS будет стараться размещать рабочие нагрузки с аналогичными требованиями к профилю на одном хосте. Это повышает использование ресурсов GPU, что снижает затраты, так как для достижения желаемого уровня производительности требуется меньше аппаратных ресурсов графического модуля.
Расширение поддержки DPU, включая серверное оборудование Lenovo и Fujitsu – год назад, с введением vSphere 8, VMware представила поддержку DPU, позволяя клиентам переносить инфраструктурные рабочие нагрузки с CPU на специализированный модуль DPU, тем самым повышая производительность бизнес-нагрузок. С этим релизом клиенты, использующие серверы Lenovo или Fujitsu, теперь смогут использовать преимущества интеграции vSphere DPU и его преимущества в производительности.
3. Ускорение инноваций для DevOps
Для потребителей инфраструктуры, таких как инженеры DevOps или разработчики, самообслуживание имеет первостепенное значение. Необходимость отправки электронного письма или создания запроса для получения доступа к инфраструктурным услугам, таким как серверы, хранилище или сеть - очень замедляют процессы. С того момента, как VMware представила интеграцию с Kubernetes в 2020 году, продолжается улучшение функций самообслуживания, и этот релиз не исключение. Помимо предоставления пользователям инфраструктуры более быстрого доступа, также была упрощена настройка среды Kubernetes для администраторов ИТ или инженеров DevOps.
Вот что было сделано:
Новый Image Registry Service для виртуальных машин – для инженеров DevOps или других пользователей, которым нужно создавать виртуальные машины, нужен такой способ хранения образов ВМ, чтобы их можно было повторно использовать или расшаривать их. Этот релиз предоставляет новый Image Registry Service, позволяя потребителям публиковать, изменять и удалять образы с использованием API Kubernetes. Образы могут быть использованы для развертывания машин VM Service. С новым реестром команды DevOps, разработчики и другие потребители VM могут публиковать и управлять образами ВМ в режиме самообслуживания, позволяя создавать их быстрее без необходимости помощи администраторов.
Поддержка VM Service для Windows и GPU – VM Service - это отличный способ предоставления ВМ в режиме самообслуживания, но в прошлом он был ограничен только машинами Linux и выбранными конфигурациями. Этот релиз убирает эти ограничения. VM Service может быть использован для развертывания машин на Windows наряду с Linux. Также ВМ может быть развернута с любым виртуальным железом, настройками безопасности, устройствами, поддержкой multi-NIC, и устройствами passthrough, которые поддерживаются в vSphere, что позволяет достичь полного соответствия традиционным машинам vSphere. Важно отметить, что теперь VM Service может быть использован для развертывания рабочих ВМ, которые требуют GPU.
Импорт и экспорт конфигурации Supervisor Cluster – конфигурация супервизор-кластера может занять много времени из-за множества требуемых настроек. Если у вас много кластеров, эта сложность повышается. Теперь конфигурацию Supervisor cluster можно сохранять и экспортировать в другие кластеры. Вы легко можете экспортировать существующую конфигурацию кластера и импортировать в новый супервизор-кластер, минуя ручной процесс конфигурации. Кроме того, это позволит вам более легко воспроизводить стандартную конфигурацию на большом количестве супервизор-кластеров.
4. Прочие улучшения
Здесь нужно отметить следующее:
Virtual Hardware версии 21 - теперь ВМ получают следующие характеристики:
Увеличено максимальное количество vGPU для ВМ до 16.
Можно подключать до 256 дисков NVMe к ВМ.
Поддерживается спецификация NVMe 1.3 для пользователей Windows и кластерное переключение при отказе Windows Server с дисками NVMe.
Проверки на совместимость для новых ОС: Red Hat 10, Oracle 10, Debian 13 и FreeBSD 15.
Помните, чтобы полностью использовать эти возможности, вам нужны как vSphere 8 update 2, так и Virtual Hardware 21.
Расширение поддержки NSX Advanced Load Balancer - NSX-T Load Balancer был объявлен устаревшим, начиная с версии NSX-T 3.2, будьте готовы к скорым изменениям. Начните уже сейчас использовать NSX Advanced Load Balancer или Avi load balancer. Это актуально только для новых установок (Greenfield installations).
Quality of Service для GPU-нагрузок - с vGPU "время приостановки" (время, когда виртуальная машина временно приостанавливается) во время миграции может быть значительным. Обновление vSphere 8 до версии 2 предоставляет администраторам прекрасный инструмент для оценки максимально возможного времени приостановки ВМ с поддержкой vGPU. Это определяется на основе скорости сети и размера памяти vGPU.
Понятные сообщения об ошибках - сообщения об ошибках были пересмотрены, чтобы решить долгостоящую проблему пользователей и сделать их более понятными и полезными. Примером этого являются более понятные сообщения об ошибках, отображаемые при блокировке файлов ВМ. В сценариях, когда ВМ не может быть включена, обновленные сообщения будут указывать на заблокированный файл и определять хост с блокировкой.
Упрощенное развертывание виртуальных машин Windows - в процессе развертывания виртуальных машин Windows были сделаны существенные улучшения. Теперь пользователи могут определить путь OU при создании спецификаций настройки, что приводит к тому, что виртуальные машины Windows развертываются и настраиваются в соответствии с указанным путем OU, оптимизируя их интеграцию в Active Directory.
Оптимизированные профили конфигурации (vSphere Configuration Profiles) - введенные в vSphere 8 и усовершенствованные в vSphere 8 Update 1, функциональные возможности профилей конфигурации vSphere получили дальнейшее улучшение в Update 2. Всеобъемлющий рабочий процесс в пользовательском интерфейсе облегчает создание, редактирование и применение профилей конфигурации vSphere. Теперь нет необходимости экспортировать документ JSON для редактирования - хотя опция остается. В пользовательский интерфейс была добавлена новая вкладка "Draft", позволяющая пользователям создавать, редактировать и применять черновики или копии существующей конфигурации.
Улучшенный vSphere Lifecycle Manager (vLCM) - решение vLCM стало настоящим спасением для многих администраторов, и его возможности продолжают улучшаться. На данный момент он поддерживает узлы vSAN Witness и кластеры vSAN, но vSphere 8 Update 2 вносит заметные изменения. Это обновление позволяет vLCM управлять узлами Witness, участвующими в нескольких кластерах vSAN.
Reliable network recovery - что касается восстановления сети, то для сред, работающих с одним или несколькими распределенными коммутаторами vSphere, процесс восстановления vCenter из резервной копии был упрощен. Когда vCenter восстанавливается из устаревшей резервной копии, он автоматически согласует версии с текущей версией распределенного коммутатора на хостах ESXi.
Доступность для загрузки платформы VMware vSphere 8 Update 2 ожидается в третьем квартале этого года.
Florian Grehl на сайте virten.net опубликовал полезную статью о том, как включить аутентификацию Active Directory / LDAP / LDAPS в инфраструктуре VMware vSphere 8. Приводим ниже ее перевод.
Эта статья описывает, как интегрировать VMware vCenter Server в вашу инфраструктуру аутентификации. Источниками идентификации могут быть развертывания Microsoft Active Directory или протокола OpenLDAP.
В комплекте с управляющим сервером vCenter Server идет внутренняя база данных пользователей, которая позволяет добавлять и управлять пользователями из пользовательского интерфейса. Управление пользователями и единый вход предоставляются встроенным компонентом Platform Service Controller. В большой среде вы, возможно, захотите подключить вашу инфраструктуру виртуализации к централизованно управляемому провайдеру идентификации.
Обратите внимание, что VMware объявила о прекращении поддержки Integrated Windows Authentication (IWA). IWA был методом аутентификации, при котором вы присоединяли vCenter Server к вашему домену Active Directory. Несмотря на то, что Active Directory все еще поддерживается для аутентификации, рекомендуется использовать AD через LDAP или идентификацию с помощью ADFS. Для дополнительной информации см. KB78506.
1. Получение сертификата LDAPS
В связи с рисками безопасности, LDAPS заменяет LDAP как новый протокол каталога. Настоятельно рекомендуется использовать LDAPS, который использует SSL для установления безопасного соединения между клиентом и сервером перед обменом любыми данными. В настоящее время в пользовательском интерфейсе vCenter нет функции получения сертификата, поэтому сертификат нужно загрузить самостоятельно.
Подключитесь к vCenter Server Appliance (или любой системе с установленным OpenSSL CLI) с помощью SSH и войдите как root. Выполните следующую команду, чтобы показать сертификат LDAP:
Эта команда отображает цепочку сертификатов и информацию о сессии SSL. Вы можете использовать либо сертификат CA, либо сертификат сервера. Использование сертификата CA имеет преимущество в том, что вам не нужно перенастраивать провайдер идентификации, когда сертификат LDAPS заменяется.
Копируем содержимое между строчками -----BEGIN CERTIFICATE----- и -----END CERTIFICATE----- в текстовый файл.
После этого сохраните полученный файл с расширением .crt.
2. Добавление провайдера идентификации
Откройте vSphere Client.
Войдите как Single Sign-On Administrator.
Перейдите к Administration > Single Sign On > Configuration.
На вкладке провайдера идентификации откройте Identity Sources.
Нажмите ADD.
Измените Identity Source Type на Active Directory over LDAP.
Заполните остальные поля следующим образом:
Identity source name: Метка для идентификации (нужно указать имя домена)
Base distinguished name for users: Уникальное имя Distinguished Name (DN) начальной точки для поиска на сервере каталогов. Пример: Если ваше имя домена - virten.lab, то DN для всего каталога - "DC=virten,DC=lab".
Base distinguished name for groups: Уникальное имя (DN) начальной точки для поиска на сервере каталогов.
Domain name: Ваше имя домена. Пример: "virten.lab".
Domain alias: Ваше имя NetBIOS. Пример: "virten".
Username: Пользователь домена как минимум с правами просмотра.
Если вы получаете ошибку "Invalid DN syntax.", попробуйте ввести пользователя в формате DN: "uid=administrator,cn=users,dc=virten,dc=lab".
Password: Пароль пользователя домена.
Connect to: Выберите "Connect to any domain controller in the domain", если вы хотите использовать DNS для идентификации контроллеров домена или настроить статические основные и вторичные URL. При использовании статических записей вы можете либо запрашивать локальный каталог (порт 636), либо глобальный каталог (порт 3269). (Для устаревших незащищенных подключений используйте 389/3268). Пример: "ldap://dc.virten.lab:636".
Нажмите "Browse" рядом с сертификатом (для LDAPS).
Выберите файл .crt, полученный ранее от сервера LDAP.
Нажмите "ADD" и завершите мастер настройки.
В источниках идентификации ваш LDAP должен появиться в списке, и с этого момента вы можете назначать разрешения vCenter пользователям и группам из вашего каталога Active Directory.
Выберите ваш AD и нажмите кнопку "SET AS DEFAULT", чтобы сделать его доменом по умолчанию для аутентификации в вашем vCenter, что означает, что каждый, кто не указывает имя домена для входа, автоматически аутентифицируется в этом домене.
Для входа с пользователями AD вам нужно установить разрешения. Чтобы добавить пользователя/группу AD в качестве глобального администратора, перейдите к Administration > Access Control > Global Permissions.
Нажмите "ADD".
Выберите домен и начните вводить в поле поиска User/Group, чтобы выбрать Domain entity.
Нажмите "OK".
Теперь вы должны иметь возможность входить с помощью учетной записи Active Directory. Чтобы решать проблемы, связанные с аутентификацией, проверьте файлы журнала на vCenter Server Appliance в папке /var/log/vmware/sso.
Вильям Лам опубликовал интересную статью о шаблонах виртуальных машин (VM Templates), разъясняющую некоторые возможности по их использованию в библиотеках контента.
Часто неправильно понимаемой возможностью библиотеки контента vSphere является управление и распространение шаблонов виртуальных машин (VM Templates), которая была представлена в vSphere 6.7 Update 2.
Для библиотек контента в vSphere 5.0 контент распространялся с использованием репликации на основе запроса, при которой на клиентском vCenter Server настраивалась подписка на контент сервера-издателя vCenter Server, а затем контент скачивался на сервер подписчика, как показано на рисунке ниже.
Эта первоначальная архитектура библиотеки контента vSphere упрощала любому vCenter Server, независимо от его домена Single Sign-On, создание подписки и загрузку контента (файлы ISO, OVF/OVA и другие) из vSphere Content Library сервера-издателя.
Создание подписки на библиотеку контента vSphere полностью управлялось подписывающимся vCenter Server, если он знал URL подписки и учетные данные для подключения к серверу-издателю vCenter Server. Хотя это упрощало подписку на контент из библиотеки контента vSphere для всех, это также означало, что для больших организаций с множеством серверов vCenter Server требовалась дополнительная задача по настройке каждого подписывающегося vCenter Server.
После того как контент был синхронизирован с подписчиком vCenter Server, не было простого способа контролировать, какие пользователи могут развертывать определенные OVF/OVA из библиотеки контента vSphere, что может быть проблемой для организаций, которые требуют тонкого контроля доступа к развертыванию рабочих нагрузок. Как гарантировать, что конкретные пользователи/группы развертывают подходящие или последние образы?
Когда возможность управления шаблонами VMTX была добавлена в библиотеку контента vSphere, это не только ввело новую функцию Check-In/Check-Out для шаблонов виртуальных машин, но и добавило новый метод управления распространением образов виртуальных машин через несколько серверов vCenter с использованием новой репликации на основе push, которая исходит от сервера-издателя vCenter Server.
Вместо того чтобы идти на каждый подписывающийся vCenter Server для создания подписки на библиотеку контента vSphere, теперь вы можете управлять всеми подписками непосредственно с сервера-издателя vCenter Server. Этот дополнительный метод репликации библиотеки контента vSphere требует, чтобы все серверы vCenter Server, которые хотят подписаться на образы VMTX, участвовали либо в Enhanced Linked Mode (ELM), либо в Hybrid Linked Mode (HLM), где онпремизный vCenter Server публикует контент на vCenter Server VMware Cloud на AWS (в обратную сторону пока не поддерживается).
Поскольку подписка на библиотеку контента vSphere управляется и настраивается на сервере-издателе vCenter Server, должно существовать доверие между сервером-издателем и сервером-подписчиком vCenter Server, чтобы иметь возможность создавать подписку с сервера-издателя vCenter Server, и именно поэтому требуется один из вариантов Linked-режимов, чтобы иметь возможность использовать новую возможность синхронизации VTMX.
Имея такое сопряжение, чтобы управлять и создавать подписки на ваши серверы-подписчики vCenter Server, включая образы VMTX, вам нужно выбрать желаемую библиотеку контента vSphere на вашем сервере-издателе vCenter Server и в новой вкладке "Subscriptions", как показано на скриншоте ниже.
Хотя при использовании новой функции VMTX в библиотеке контента vSphere есть некоторые узкие места, есть и большие преимущества перед управлением традиционными образами OVF/OVA. Некоторые администраторы знают, что нет способа контролировать, каким пользователям разрешено развертывать из конкретных образов OVF/OVA из библиотеки контента vSphere.
С VMTX у вас на самом деле есть возможность назначать детализированные права пользователям и группам, которые определяют, кто может видеть и развертывать конкретные образы VMTX, что является результатом того, что образ VMTX является частью инвентаря vSphere, что означает, что вы получаете преимущества от механизма прав vCenter Server.
Ниже приведен пример, где есть два образа VMTX: Photon-3.0 и Photon-4.0 в одной библиотеке контента vSphere, и права назначаются таким образом, что они соответственно отображаются на пользователя lob1-user и lob2-user, которым затем разрешено развертывать на основе прав, которые усатновлены на образы VMTX.
Кроме того, мы можем также ограничить, какой контент должен видеть конкретный подписывающийся vCenter Server, особенно если у ваших развертываний vCenter Server есть различные требования по контенту. С моделью на основе pull, все пользователи в подписывающихся серверах vCenter Server смогут видеть только все OVF/OVA из опубликованной библиотеки контента vSphere, и это может быть или не быть желаемым результатом в зависимости от потребностей вашей организации.
Альтернативный подход к ограничению доступа к OVF/OVA заключается в создании нескольких библиотек контента vSphere с сервера-издателя vCenter Server, но это может привести к дублированию контента, который должен быть в нескольких библиотеках, что потребляет дополнительное место хранения и добавляет дополнительную сложность.
С новым же подходом вы можете управлять одной библиотекой контента vSphere со всеми желаемыми VMTX, а затем использовать права vSphere для предоставления дополнительного контроля доступа в каждом подписывающемся vCenter Server. Наконец, чтобы гарантировать, что каждый подписывающийся vCenter Server не загружает ненужные образы VMTX, которые не могут быть использованы, вы всегда должны рассматривать возможность включения настройки "Загрузка контента библиотеки по мере необходимости" и предварительно загружать только тот контент, который, как вы знаете, может или будет использоваться подписывающимся vCenter Server.
В начале прошлого года мы рассказывали о ситуации вокруг продукта VMware vCenter Converter, предназначенного для миграции физических и виртуальных серверов в онпремизную и облачную среду VMware vSphere. На тот момент Converter был убран из списка доступных загрузок из соображений обеспечения совместимости, стабильности и безопасности, так как продукт многие годы не развивался - последний релиз VMware vCenter Conterter был от мая 2018 года (там была и его версия VMware Converter Standalone), хотя, по-сути, не обновлялся он несколько лет до этого.
В октябре прошлого года был впервые выпущен релиз vCenter Converter Standalone 6.3, где было много новых возможностей, необходимость в которых копилась еще с 2018 года. Ну а вот на днях VMware выпустила очередное обновление - бету vCenter Converter Standalone 6.4, и об этом написал Вильям Лам.
Давайте посмотрим на новые возможности Converter 6.4 Beta:
Добавлена поддержка контроллеров дисков NVMe
Добавлена поддержка паравиртуальных SCSI-контроллеров дисков
Добавлена поддержка виртуальных машин, совместимых с виртуальным аппаратным обеспечением до версии 20
Добавлена поддержка VMware vSphere 8.0 в части vCenter 8.0 и VMware ESXi 8.0
Добавлена поддержка VMware Workstation 17 и VMware Fusion 13
Добавлена возможность конвертации для экземпляров Amazon EC2 (из AWS EC2 в VMware vSphere или VMware Cloud on AWS)
Добавлена возможность конвертации для ВМ с UEFI Secure Boot
Добавлена возможность конвертации для Microsoft VBS
Улучшена общая безопасность vCenter Converter
Чтобы скачать продукт и посмотреть заметки к релизу, вам нужно зарегистрироваться в бета-программе по этой ссылке.
Недавно мы писали об анонсированных новых возможностях обновленной платформы виртуализации VMware vSphere 8 Update 1, выход которой ожидается в ближайшее время. Параллельно с этим компания VMware объявила и о выпуске новой версии решения VMware vSAN 8 Update 1, предназначенного для создания высокопроизводительных отказоустойчивых хранилищ для виртуальных машин, а также об улучшениях подсистемы хранения Core Storage в обеих платформах.
Недавно компания VMware также выпустила большую техническую статью "What's New with vSphere 8 Core Storage", в которой детально рассмотрены все основные новые функции хранилищ, с которыми работают платформы vSphere и vSAN. Мы решили перевести ее с помощью ChatGPT и дальше немного поправить вручную. Давайте посмотрим, что из этого вышло :)
Итак что нового в части Core Storage платформы vSphere 8 Update 1
Одно из главных улучшений - это новая система управления сертификатами. Она упрощает возможность регистрации нескольких vCenter в одном VASA-провайдере. Это положит основу для некоторых будущих возможностей, таких как vVols vMSC. Такж есть и функции, которые касаются масштабируемости и производительности. Поскольку vVols могут масштабироваться гораздо лучше, чем традиционное хранилище, VMware улучшила подсистему хранения, чтобы тома vVols работали на больших масштабах.
1. Развертывание нескольких vCenter для VASA-провайдера без использования самоподписанных сертификатов
Новая спецификация VASA 5 была разработана для улучшения управления сертификатами vVols, что позволяет использовать самоподписанные сертификаты для многовендорных развертываний vCenter. Это решение также решает проблему управления сертификатами в случае, когда независимые развертывания vCenter, работающие с различными механизмами управления сертификатами, работают вместе. Например, один vCenter может использовать сторонний CA, а другой vCenter может использовать сертификат, подписанный VMCA. Такой тип развертывания может быть использован для общего развертывания VASA-провайдера. Эта новая возможность использует механизм Server Name Indication (SNI).
SNI - это расширение протокола Transport Layer Security (TLS), с помощью которого клиент указывает, какое имя хоста он пытается использовать в начале процесса handshake. Это позволяет серверу показывать несколько сертификатов на одном IP-адресе и TCP-порту. Следовательно, это позволяет обслуживать несколько безопасных (HTTPS) веб-сайтов (или других служб через TLS) с одним и тем же IP-адресом, не требуя, чтобы все эти сайты использовали один и тот же сертификат. Это является концептуальным эквивалентом виртуального хостинга на основе имени HTTP/1.1, но только для HTTPS. Также теперь прокси может перенаправлять трафик клиентов на правильный сервер во время хэндшейка TLS/SSL.
2. Новая спецификация vVols VASA 5.0 и некоторые детали функций
Некоторые новые функции, добавленные в vSphere 8 U1:
Изоляция контейнеров - работает по-разному для поставщиков VASA от различных производителей. Она позволяет выполнять настройку политики контроля доступа на уровне каждого vCenter, а также дает возможность перемещения контейнеров между выбранными vCenter. Это дает лучшую изоляцию на уровне контейнеров, а VASA Provider может управлять правами доступа для контейнера на уровне каждого vCenter.
Аптайм - поддержка оповещений об изменении сертификата в рамках рабочего процесса VASA 5.0, который позволяет обновлять сертификат VMCA в системах с несколькими vCenter. Недействительный или истекший сертификат вызывает простой, также возможно возникновение простоя при попытке регистрации нескольких vCenter с одним VASA Provider. В конфигурации с несколькими vCenter сертификаты теперь можно обновлять без простоя.
Улучшенная безопасность для общих сред - эта функция работает по-разному для поставщиков VASA от производителей. Все операции могут быть аутентифицированы в контексте vCenter, и каждый vCenter имеет свой список контроля доступа (ACL). Теперь нет самоподписанных сертификатов в доверенном хранилище. VASA Provider может использоваться в облачной среде, и для этого также есть доступная роль в VASA 5.0.
Обратная совместимость - сервер ESXi, который поддерживает VASA 5.0, может решать проблемы с самоподписанными сертификатами и простоями, возникающими в случае проблем. VASA 5.0 остается обратно совместимым и дает возможность контролировать обновление в соответствии с требованиями безопасности. VASA 5.0 может сосуществовать с более ранними версиями, если производитель поддерживает эту опцию.
Гетерогенная конфигурация сертификатов - работает по-разному для поставщиков VASA от производителей. Теперь используется только подписанный сертификат VMCA, дополнительный CA не требуется. Это позволяет изолировать доверенный домен vSphere. VASA 5.0 позволяет использовать разные конфигурации для каждого vCenter (например, Self-Managed 3rd Party CA Signed Certificate и VMCA managed Certificate).
Не необходимости вмешательства администратора - поддержка многократного развертывания vCenter с использованием VMCA, которая не требует от пользователя установки и управления сертификатами для VP. Служба SMS будет отвечать за предоставление сертификатов. Теперь это работает в режиме Plug and Play с автоматической предоставлением сертификатов, без вмешательства пользователя, при этом не требуется никаких ручных действий для использования VASA Provider с любым vCenter.
Комплаенс безопасности - отсутствие самоподписанных сертификатов в доверенных корневых центрах сертификации позволяет решить проблемы соответствия требованиям безопасности. Не-СА сертификаты больше не являются частью хранилища доверенных сертификатов vSphere. VASA 5.0 требует от VASA Provider использовать сертификат, подписанный СА для связи с VASA.
3. Перенос Sidecar vVols в config-vvol вместо другого объекта vVol
Sidecars vVols работали как объекты vVol, что приводило к накладным расходам на операции VASA, такие как bind/unbind. Решения, такие как First Class Disks (FCD), создают большое количество маленьких sidecars, что может ухудшить производительность vVols. Кроме того, поскольку может быть создано множество sidecars, это может учитываться в общем количестве объектов vVol, поддерживаемых на массиве хранения. Чтобы улучшить производительность и масштабируемость, теперь они обрабатываются как файлы на томе config-vvol, где могут выполняться обычные операции с файлами. Не забывайте, что в vSphere 8 был обновлен способ байндига config-vvol. В результате, с новым механизмом config-vvol уменьшается число операций и задержки, что улучшает производительность и масштабируемость.
Для этой функциональности в этом релизе есть несколько ограничений при создании ВМ. Старые виртуальные машины могут работать в новом формате на обновленных до U1 хостах, но сам новый формат не будет работать на старых ESXi. То есть новые созданные ВМ и виртуальные диски не будут поддерживаться на хостах ниже версии ESXi 8 U1.
5. Улучшения Config-vvol, поддержка VMFS6 config-vvol с SCSI vVols (вместо VMFS5)
Ранее Config-vvol, который выступает в качестве каталога для хранилища данных vVols и содержимого VM home, был ограничен размером 4 ГБ. Это не давало возможности использования папок с хранилищем данных vVols в качестве репозиториев ВМ и других объектов. Для преодоления этого ограничения Config-vvol теперь создается как тонкий объект объемом 255 ГБ. Кроме того, вместо VMFS-5 для этих объектов будет использоваться формат VMFS-6. Это позволит размещать файлы sidecar, другие файлы VM и библиотеки контента в Config-vvol.
На изображении ниже показаны Config-vvol разных размеров. Для машины Win10-5 Config-vvol использует исходный формат 4 ГБ, а ВМ Win10-vVol-8u1 использует новый формат Config-vvol объемом 255 ГБ.
6. Добавлена поддержка NVMe-TCP для vVols
В vSphere 8 была добавлена поддержка NVMe-FC для vVols. В vSphere 8 U1 также расширена поддержка NVMe-TCP, что обеспечивает совместное использование NVMeoF и vVols. См. статью vVols with NVMe - A Perfect Match | VMware.
7. Улучшения NVMeoF, PSA, HPP
Инфраструктура поддержки NVMe end-to-end:
Расширение возможностей NVMe дает возможность поддержки полного стека NVMe без какой-либо трансляции команд SCSI в NVMe на любом уровне ESXi. Еще одной важной задачей при поддержке end-to-end NVMe является возможность контроля multipath-плагинов сторонних производителей для управления массивами NVMe.
Теперь с поддержкой GOS протокол NVMe может использоваться для всего пути - от GOS до конечного таргета.
Важным аспектом реализации VMware трансляции хранилищ виртуальных машин является поддержка полной обратной совместимости. VMware реализовала такой механизм, что при любом сочетании виртуальных машин, использующих SCSI или контроллер vNVMe, и целевого устройства, являющегося SCSI или NVMe, можно транслировать путь в стеке хранения. Это дизайн, который позволяет клиентам переходить между SCSI- и NVMe-хранилищами без необходимости изменения контроллера хранилищ для виртуальной машины. Аналогично, если виртуальная машина имеет контроллер SCSI или vNVMe, он будет работать как на SCSI-, так и на NVMeoF-хранилищах.
Упрощенная диаграмма стека хранения выглядит так:
Для получения дополнительной информации о NVMeoF для vSphere, обратитесь к странице ресурсов NVMeoF.
8. Увеличение максимального количества путей для пространств имен NVMe-oF с 8 до 32
Увеличение количества путей улучшает масштабирование в окружениях с несколькими путями к пространствам имен NVMe. Это необходимо в случаях, когда хосты имеют несколько портов и модуль имеет несколько нод, а также несколько портов на одной ноде.
9. Увеличение максимального количества кластеров WSFC на один хост ESXi с 3 до 16
Это позволяет уменьшить количество лицензий Microsoft WSFC, необходимых для увеличения количества кластеров, которые могут работать на одном хосте.
Для получения дополнительной информации о работе Microsoft WSFC на vSphere можно обратиться к следующим ресурсам:
10. Улучшения VMFS - расширенная поддержка XCOPY для копирования содержимого датасторов между различными массивами
ESXi теперь поддерживает расширенные функции XCOPY, что оптимизирует копирование данных между датасторами разных массивов. Это поможет клиентам передать обработку рабочих нагрузок на сторону хранилища. Функция уже доступна в vSphere 8 U1, но по факту миграция данных между массивами должна поддерживаться на стороне хранилища.
11. Реализация NFSv3 vmkPortBinding
Данная функция позволяет привязать соединение NFS для тома к конкретному vmkernel. Это помогает обеспечить безопасность, направляя трафик NFS по выделенной подсети/VLAN, и гарантирует, что трафик NFS не будет использовать mgmt-интерфейс или другие интерфейсы vmkernel.
Предыдущие монтирования NFS не содержат этих значений, хранящихся в config store. Во время обновления, при чтении конфигурации из конфигурационного хранилища, значения vmknic и bindTovmnic, если они есть, будут считаны. Поэтому обновления с предыдущих версий не будут содержать этих значений, так как они являются необязательными.
Изменения в способе создания/удаления Swap-файлов для томов vVols помогли улучшить производительность включения/выключения, а также производительность vMotion и svMotion.
13. Улучшения Config vVol и сохранение привязки
Здесь были сделаны следующие доработки:
Уменьшено время запроса при получении информации о ВМ
Добавлено кэширование атрибутов vVol - размер, имя и прочих
Конфигурационный vVol - это место, где хранятся домашние файлы виртуальной машины (vmx, nvram, logs и т. д.) и к нему обычно обращаются только при загрузке или изменении настроек виртуальной машины.
Ранее использовалась так называемая "ленивая отмена связи" (lazy unbind), и происходил unbind конфигурационного vVol, когда он не использовался. В некоторых случаях приложения все же периодически обращались к конфигурационному vVol, что требовало новой операции привязки. Теперь эта связь сохраняется, что уменьшает задержку при доступе к домашним данным виртуальной машины.
14. Поддержка NVMeoF для vVols
vVols были основным направлением развития функциональности хранилищ VMware в последние несколько версий, и для vSphere 8.0 это не исключение. Самое большое обновление в ядре хранения vSphere 8.0 - добавление поддержки vVols в NVMeoF. Изначально поддерживается только FC, но со временем будут работать и другие протоколы, провалидированные и поддерживаемые с помощью vSphere NVMeoF. Теперь есть новая спецификация vVols и VASA/VC-фреймворка - VASA 4.0/vVols 3.0.
Причина добавления поддержки vVols в NVMeoF в том, что многие производители массивов, а также отрасль в целом, переходят на использование или, по крайней мере, добавление поддержки NVMeoF для повышения производительности и пропускной способности. Вследствие этого VMware гарантирует, что технология vVols остается поддерживаемой для последних моделей хранилищ.
Еще одним преимуществом NVMeoF vVols является настройка. При развертывании после регистрации VASA фоновая установка завершается автоматически, вам нужно только создать датастор. Виртуальные эндпоинты (vPE) и соединения управляются со стороны VASA, что упрощает настройку.
Некоторые технические детали этой реализации:
ANA Group (Асимметричный доступ к пространству имен)
С NVMeoF реализация vVols немного отличается. С традиционными SCSI vVols хранилищами контейнер является логической группировкой самих объектов vVol. С NVMeoF это варьируется в зависимости от того, как поставщик массива реализует функциональность. В общем и целом, на хранилище группа ANA является группировкой пространств имен vVol. Массив определяет количество групп ANA, каждая из которых имеет уникальный ANAGRPID в подсистеме NVM. Пространства имен выделяются и активны только по запросу BIND к провайдеру VASA (VP). Пространства имен также добавляются в группу ANA при запросе BIND к VP. Пространство имен остается выделенным/активным до тех пор, пока последний хост не отвяжет vVol.
vPE (virtual Protocol Endpoint)
Для традиционных vVols на базе SCSI, protocol endpoint (PE) - это физический LUN или том на массиве, который отображается в появляется в разделе устройств хранения на хостах. С NVMeoF больше нет физического PE, PE теперь является логическим объектом, представлением группы ANA, в которой находятся vVols. Фактически, до тех пор, пока ВМ не запущена, vPE не существует. Массив определяет количество групп ANA, каждая из которых имеет уникальный ANAGRPID в подсистеме NVM. Как только ВМ запущена, создается vPE, чтобы хост мог получить доступ к vVols в группе ANA. На диаграмме ниже вы можете увидеть, что vPE указывает на группу ANA на массиве.
NS (пространство имен, эквивалент LUN в NVMe)
Каждый тип vVol (Config, Swap, Data, Mem), созданный и использующийся машиной, создает NS, который находится в группе ANA. Это соотношение 1:1 между vVol и NS позволяет вендорам оборудования легко масштабировать объекты vVols. Обычно поставщики поддерживают тысячи, а иногда и сотни тысяч NS. Ограничения NS будут зависеть от модели массива.
На диаграмме вы можете увидеть, что сама виртуальная машина является NS, это будет Config vVol, а диск - это другой NS, Data vVol.
Поддержка 256 пространств имен и 2K путей с NVMe-TCP и NVMe-FC
NVMeoF продолжает набирать популярность по очевидным причинам - более высокая производительность и пропускная способность по сравнению с традиционным подключением SCSI или NFS. Многие производители хранилищ также переходят на NVMe-массивы и использование SCSI для доступа к NVMe флэш-накопителям является узким местом и потенциалом для улучшений.
Продолжая работать на этим, VMware увеличила поддерживаемое количество пространств имен и путей как для NVMe-FC, так и для TCP.
Расширение reservations для устройств NVMe
Добавлена поддержка команд reservations NVMe для использования таких решений, как WSFC. Это позволит клиентам использовать возможности кластеризованных дисков VMDK средствами Microsoft WSFC с хранилищами данных NVMeoF. Пока поддерживается только протокол FC.
Поддержка автообнаружения для NVMe Discovery Service на ESXi
Расширенная поддержка NVMe-oF в ESXi позволяет динамически обнаруживать совместимые со стандартом службы NVMe Discovery Service. ESXi использует службу mDNS/DNS-SD для получения информации, такой как IP-адрес и номер порта активных служб обнаружения NVMe-oF в сети.
Также ESXi отправляет многоадресный DNS-запрос (mDNS), запрашивая информацию от сущностей, предоставляющих службу обнаружения DNS-SD. Если такая сущность активна в сети (на которую был отправлен запрос), она отправит (одноадресный) ответ на хост с запрошенной информацией - IP-адрес и номер порта, где работает служба.
16. Улучшение очистки дискового пространства с помощью Unmap
Снижение минимальной скорости очистки до 10 МБ/с
Начиная с vSphere 6.7, была добавлена функция настройки скорости очистки (Unmap) на уровне хранилища данных. С помощью этого улучшения клиенты могут изменять скорость очистки на базе рекомендаций поставщика их массива. Более высокая скорость очистки позволяла многим пользователям быстро вернуть неиспользуемое дисковое пространство. Однако иногда даже при минимальной скорости очистки в 25 МБ/с она может быть слишком высокой и привести к проблемам при одновременной отправке команд Unmap несколькими хостами. Эти проблемы могут усугубляться при увеличении числа хостов на один датастор.
Пример возможной перегрузки: 25 МБ/с * 100 хранилищ данных * 40 хостов ~ 104 ГБ/с
Чтобы помочь клиентам в ситуациях, когда скорость очистки 25 МБ/с может приводить к проблемам, VMware снизила минимальную скорость до 10 МБ/с и сделала ее настраиваемой на уровне датасторов:
При необходимости вы также можете полностью отключить рекламацию пространства для заданного datastore.
Очередь планирования отдельных команд Unmap
Отдельная очередь планирования команд Unmap позволяет выделить высокоприоритетные операции ввода-вывода метаданных VMFS и обслуживать их из отдельных очередей планирования, чтобы избежать задержки их исполнения из-за других команд Unmap.
17. Контейнерное хранилище CNS/CSI
Теперь вы можете выбрать политику Thin provisioning (EZT, LZT) через SPBM для CNS/Tanzu.
Цель этого - добавить возможность политик SPBM для механизма создания/изменения правил политик хранения, которые используются для параметров выделения томов. Это также облегчает проверку соответствия правил выделения томов в политиках хранения для SPBM.
Операции, поддерживаемые для виртуальных дисков: создание, реконфигурация, клонирование и перемещение.
Операции, поддерживаемые для FCD: создание, обновление политики хранения, клонирование и перемещение.
18. Улучшения NFS
Инженеры VMware всегда работают над улучшением надежности доступа к хранилищам. В vSphere 8 были добавлены следующие улучшения NFS, повышающие надежность:
Повторные попытки монтирования NFS при сбое
Валидация монтирования NFS
Ну как вам работа ChatGPT с правками человека? Читабельно? Напишите в комментариях!
В марте компания VMware анонсировала скорую доступность первого пакета обновлений своей флагманской платформы виртуализации VMware vSphere 8.0 Update 1. Напомним, что прошлая версия VMware vSphere 8.0 была анонсирована на конференции VMware Explore 2022 в августе прошлого года.
Давайте посмотрим, что нового появилось в vSphere 8.0 U1:
1. Полная поддержка vSphere Configuration Profiles
В vSphere 8.0 эта функциональность впервые появилась и работала в режиме технологического превью, а в Update 1 она полностью вышла в продакшен. Эта возможность представляет собой новое поколение инструментов для управления конфигурациями кластеров и заменяет предыдущую функцию Host Profiles. Ее особенности:
Установка желаемой конфигурации на уровне кластера в форме JSON-документа
Проверка хостов на соответствие желаемой конфигурации
При выявлении несоответствий - перенастройка хостов на заданный уровень конфигурации
В vSphere 8 Update 1 возможности Configuration Profiles поддерживают настройку распределенных коммутаторов vSphere Distributed Switch, которая не была доступна в режиме технологического превью. Однако, окружения, использующие VMware NSX, все еще не поддерживаются.
Существующие кластеры можно перевести под управление Configuration Profiles. Если для кластера есть привязанный профиль Host Profile, то вы увидите предупреждение об удалении профиля, когда кластер будет переведен в Configuration Profiles. Как только переход будет закончен, Host Profiles уже нельзя будет привязать к кластеру и хостам.
Если кластер все еще использует управление жизненным циклом на базе бейзлайнов, то сначала кластер нужно перевести в режим управления image-based:
vSphere Configuration Profiles могут быть активированы при создании нового кластера. Это требует, чтобы кластер управлялся на основе единого определения образа. После создания кластера доступна кастомизация конфигурации. Более подробно о возможностях Configuration Profiles можно почитать здесь.
2. vSphere Lifecycle Manager
для отдельных хостов
В vSphere 8 появилась возможность управлять через vSphere Lifecycle Manager отдельными хостами ESXi под управлением vCenter посредством vSphere API. В Update 1 теперь есть полная поддержка vSphere Client для этого процесса - создать образ, проверить и привести в соответствие, а также другие функции.
Все, что вы ожидаете от vSphere Lifecycle Manager для взаимодействия с кластером vSphere, вы можете делать и для отдельных хостов, включая стейджинг и функции ESXi Quick Boot.
Также вы можете определить кастомные image depots для отдельных хостов - это полезно, когда у вас есть хост, который находится на уровне edge и должен использовать depot, размещенный совместно с хостом ESXi, во избежание проблем с настройкой конфигурации при плохом соединении удаленных друг от друга хостов ESXi и vCenter.
3. Различные GPU-нагрузки хоста на базе одной видеокарты
В предыдущих версиях vSphere все рабочие нагрузки NVIDIA vGPU должны были использовать тот же самый тип профиля vGPU и размер памяти vGPU. В vSphere 8 U1 модули NVIDIA vGPU могут быть назначены для различных типов профилей. Однако, размер памяти для них должен быть, по-прежнему, одинаковым. Например, на картинке ниже мы видим 3 виртуальных машины, каждая с разным профилем (B,C и Q) и размером памяти 8 ГБ. Это позволяет более эффективно разделять ресурсы между нагрузками разных видов.
NVIDIA позволяет создавать следующие типы профилей vGPU:
Profile type A - для потоково доставляемых приложений или для решений на базе сессий
Profile type B - для VDI-приложений
Profile type C - для приложений, требовательных к вычислительным ресурсам (например, machine learning)
Profile type Q - для приложений, требовательных к графике
4. Службы Supervisor Services для vSphere Distributed Switch
В vSphere 8 Update 1, в дополнение к VM Service, службы Supervisor Services теперь доступны при использовании сетевого стека vSphere Distributed Switch.
Supervisor Services - это сертифицированные в vSphere операторы Kubernetes, которые реализуют компоненты Infrastructure-as-a-Service, тесно интегрированные со службами независимых разработчиков ПО. Вы можете установить и управлять Supervisor Services в окружении vSphere with Tanzu, чтобы сделать их доступными для использования рабочими нагрузками Kubernetes. Когда Supervisor Services установлены на Supervisors, инженеры DevOps могут использовать API для создания инстансов на Supervisors в рамках пользовательских пространств имен.
Возможность VM Service была доработана, чтобы поддерживать образы ВМ, созданные пользователями. Теперь администраторы могут собирать собственные пайплайны сборки образов с поддержкой CloudInit и vAppConfig.
Администраторы могут добавить эти новые шаблоны ВМ в Content library, чтобы они стали доступны команде DevOps. А сами DevOps создают спецификацию cloud-config, которая настроит ВМ при первой загрузке. Команда DevOps отправляет спецификацию ВМ вместе cloud-config для создания и настройки ВМ.
DevOps могут теперь получать простой доступ к виртуальным машинам, которые они развернули, с использованием kubectl.
В этом случае создается уникальная ссылка, по которой можно получить доступ к консоли ВМ, и которая не требует настройки разрешений через vSphere Client. Веб-консоль дает по этому URL доступ пользователю к консоли машины в течение двух минут. В этом случае нужен доступ к Supervisor Control Plane по порту 443.
Веб-консоль ВМ дает возможности самостоятельной отладки и траблшутинга даже для тех ВМ, у которых может не быть доступа к сети и настроенного SSH.
7. Интегрированный плагин Skyline Health Diagnostics
Теперь развертывание и управление VMware Skyline Health Diagnostics упростилось за счет рабочего процесса, встроенного в vSphere Client, который дает возможность просто развернуть виртуальный модуль и зарегистрировать его в vCenter.
Skyline Health Diagnostics позволяет вам:
Диагностировать и исправлять различные типы отказов в инфраструктуре
Выполнять проверку состояния компонентов (health checks)
Понимать применимость VMware Security Advisories и связанных элементов
Обнаруживать проблемы, которые влияют на апдейты и апгрейды продукта
Утилита использует логи, конфигурационную информацию и другие источники для обнаружения проблем и предоставления рекомендаций в форме ссылок на статьи KB или шагов по исправлению ситуации.
8. Улучшенные метрики vSphere Green Metrics
В vSphere 8.0 появились метрики, которые отображают потребление энергии виртуальными машинами с точки зрения энергоэффективности виртуального датацентра. В vSphere 8.0 Update 1 теперь можно отслеживать их на уровне отдельных ВМ. Они берут во внимание объем ресурсов ВМ, чтобы дать пользователю более точную информацию об энергоэффективности на уровне отдельных нагрузок. Разработчики также могут получать их через API, а владельцы приложений могут получать агрегированное представление этих данных.
Метрика Static Power - это смоделированное потребление мощности простаивающих ресурсов ВМ, как если бы она был хостом bare-metal с такими же аппаратными параметрами процессора и памяти. Static Power оценивает затраты на поддержание таких хостов во включенном состоянии. Ну а Usage - это реально измеренное потребление мощности ВМ в активном режиме использования CPU и памяти, которые запрашиваются через интерфейс (IPMI - Intelligent Platform Management Interface).
9. Функция Okta Identity Federation для vCenter
vSphere 8 Update 1 поддерживает управление идентификациями и многофакторной аутентификацией в облаке, для чего на старте реализована поддержка Okta.
Использование Federated identity подразумевает, что vSphere не видит пользовательских учетных данных, что увеличивает безопасность. Это работает по аналогии со сторонними движками аутентификации в вебе, к которым пользователи уже привыкли (например, логин через Google).
10. Функции ESXi Quick Boot для защищенных систем
vSphere начала поддерживать Quick Boot еще с версии vSphere 6.7. Теперь хосты с поддержкой TPM 2.0 проходят через безопасный процесс загрузки и аттестации, что позволяет убедиться в неизменности хоста - а это надежный способ предотвратить атаки malware. Quick Boot теперь стал полноценно совместимым процессом в vSphere 8 Update 1.
11. Поддержка vSphere Fault Tolerance с устройствами vTPM
Функции непрерывной доступности VMware vSphere Fault Tolerance (FT) позволяют подхватить исполнение рабочей нагрузки на резервном хосте без простоя в случае проблем основной ВМ. Теперь эта функция поддерживает ВМ, настроенные с устройствами vTPM.
Модели Virtual TPM - это важный компонент инфраструктуры, используемый такими решениями, как Microsoft Device Guard, Credential Guard, Virtualization-Based Security, Secure Boot & OS attestation, а также многими другими. Это, зачастую, и часть регуляторных требований комплаенса.
12. Поддержка Nvidia NVSwitch
В рамках партнерства с NVIDIA, VMware продолжает расширять поддержку продуктового портфеля этого вендора.
Эта технология используется в high-performance computing (HPC) и для AI-приложений (deep learning, научное моделирование и анализ больших данных), что требует работы модулей GPU совместно в параллельном режиме. В современном серверном оборудовании различные приложения ограничены параметрами шины. Чтобы решить эту проблему, NVIDIA создала специальный коммутатор NVSwitch, который позволяет до 8 GPU взаимодействовать на максимальной скорости.
Вот нюансы технологий NVLink и NVSwitch:
NVLink - это бэкенд протокол для коммутаторов NVSwitch. NVLink создает мост для соединений точка-точка и может быть использован для линковки от 2 до 4 GPU на очень высокой скорости.
NVSwitch требует, чтобы более 4 GPU были соединены, а также использует поддержку vSphere 8U1 NVSwitch для формирования разделов из 2, 4 и 8 GPU для работы виртуальных машин.
NVLink использует архитектуру Hopper, что предполагает создания пары GPU, которые передают до 450 GB/s (то есть общая скорость до 900 GB/s).
Для сравнения архитектура Gen5 x16 может передавать на скорости до 64 GB/s, то есть NVLink и NVSwitch дают очень существенный прирост в скорости.
13. Функции VM DirectPath I/O Hot-Plug для NVMe
В прошлых релизах добавление или удаление устройств VM DirectPath IO требовало нахождения ВМ в выключенном состоянии. Теперь же в vSphere 8 Update 1 появилась поддержка горячего добавления и удаления устройств NVMe через vSphere API.
На этом пока все, в следующих статьях мы расскажем об улучшениях Core Storage в vSphere 8 Update 1.
Компания VMware выпустила небольшое обновление хост-серверов платформы виртуализации VMware vSphere - ESXi 8.0b и vCenter 8.0b. Напомним, что о прошлом обновлении VMware vCenter 8.0a мы писали вот тут.
Из нового в ESXi 8.0b заявлена только поддержка технологиии vSphere Quick Boot для следующих серверов:
Компания VMware под конец года выпустила небольшие обновления двух продуктов - сервера управления vCenter Server 8.0a и средства мониторинга и управления виртуальной инфраструктурой vRealize Operations 8.10.1 (оно же Aria Operations).
Давайте посмотрим, что нового в VMware vCenter Server 8.0a:
За релизами платформы VMware vSphere 8, у которой недавно состоялся выпуск General Availability, многие забыли о том, что большинство пользователей в производственной среде используют еще VMware vSphere 7. Недавно компания VMware выпустила обновления компонентов этой версии платформы - ESXi 7.0 Update 3i (на 13 декабря почему-то недоступен для скачивания) и vCenter 7.0 Update 3i. Напомним, что об обновлении VMware vSphere 7 Update 3f мы писали вот тут (а здесь - о возможностях Update 3), с тех пор вышел еще апдейт 3g, а сегодня мы расскажем об очередном пакете - 3i.
Давайте посмотрим, что нового в ESXi 7.0 Update 3i:
Поддержка функций vSphere Quick Boot для сервера HPE ProLiant MicroServer Gen10 Plus v2
Исправления для уязвимостей CVE-2022-31696 и CVE-2022-31699, описанных в статье VMSA-2022-0030
В VMware vCenter 7.0 Update 3i появились следующие улучшения:
Исправления для уязвимостей CVE-2022-31697 и CVE-2022-31698, описанных в статье VMSA-2022-0030
Исправление для уязвимости CVE-2021-22048, описанное в статье VMSA-2021-0025
Обновление решения VMware vSphere with Tanzu (подробнее - в Release Notes)
Обновление Photon OS (подробнее тут, в основном патчи безопасности)
Как мы видим, обновления чисто косметические, но исправлены некоторые актуальные проблемы безопасности, поэтому обновиться стоит. Очевидно, что новый функционал в vSphere 7 добавляться уже не будет, так как идет работа над обновлением vSphere 8.
Скачать VMware ESXi 7.0 Update 3i и VMware vCenter 7.0 Update 3i можно по этой ссылке.
На сайте проекта VMware Labs появился новый интересный продукт - Cluster Rules Manager (CRM). С помощью данной утилиты можно провести обследование виртуальной инфраструктуры на предмет правил DRS affinity и anti-affinity rules. Первые определяют обязательное сосуществование ВМ на одном хосте ESXi (например, критичный сервис с высокой интенсивностью сетевого и дискового взаимодействия), а вторые - наоборот, невозможность существования ВМ на одном хосте (например, для целей отказоустойчивости и независимости от единой точки отказа оборудования).
По итогам использования этого средства через веб-консоль администраторы могут провести аудит текущих правил DRS, а также делать их импорт и экспорт в рамках инфраструктуры VMware vSphere.
Давайте посмотрим на возможности VMware Cluster Rules Manager:
Аудит правил anti-affinity для всех виртуальных машин в рамках сервера vCenter.
Импорт правил DRS affinity rules из разных серверов vCenter.
Экспорт правил DRS affinity rules в новый vCenter с сервера vCenter, гле они уже настроены.
Отчет о правилах, содержащий различные умные метрики - пользователь может выбрать, на каком уровне он будет сгенерирован (vCenter, датацентр или кластер). Отчет можно экспортировать в HTML-формат.
Отчет в реальном времени по ассоциациям VM-Rule. Можно выбрать виртуальную машину, и отчет будет содержать информацию обо всех правилах DRS, которые затрагивают данную ВМ. Этот отчет также можно генерировать на разных уровнях - ВМ, хост ESXi, кластер, датацентр и сервер vCenter. Его также можно экспортировать.
Возможность соединяться с разными vCenter в интерфейсе продукта.
Скачать VMware Cluster Rules Manager (CRM) можно по этой ссылке. Такую утилиту мы давно ждали, правда пока интерфейс оставляет желать лучшего. Ждем следующих версий!
В начале года мы рассказывали о ситуации вокруг продукта VMware vCenter Converter, предназначенного для миграции физических и виртуальных серверов в онпремизную и облачную среду VMware vSphere. На тот момент Converter был убран из списка доступных загрузок из соображений обеспечения совместимости, стабильности и безопасности, так как продукт многие годы не развивался - последний релиз VMware vCenter Conterter был от мая 2018 года (там была и его версия VMware Converter Standalone), хотя, по-сути, не обновлялся он несколько лет до этого. Поддержка этого продукта закончилась в декабре 2019, а последний раз до этого о нем мы упоминали вот тут.
Выглядел он тогда так:
И вот на днях компания VMware объявила о выпуске новой версии продукта VMware vCenter Converter Standalone 6.3.0, который поддерживает миграцию на платформу VMware vSphere 7, включая ее пакеты обновлений. К сожалению, поддержки vSphere 8 мы пока не получили (хотя технически перевести туда виртуальную машину с помощью Converter не очень-то сложно).
Давайте посмотрим на новые возможности Converter 6.3.0:
1. Обновился список поддерживаемых физических платформ для установки Converter
Теперь для целей P2V (Physical-to-Virtual) и V2V (Virtual-to-Virtual) миграции вы можете установить конвертер на следующие десктопные и серверные системы:
Windows Server 2012 (64-bit)
Windows 8.1 (32-bit and 64-bit)
Windows Server 2012 R2 (64-bit)
Windows 10 (32-bit and 64-bit)
Windows Server 2016 (64-bit)
Windows Server 2019 (64-bit)
Windows 11 (64-bit)
Windows Server 2022 (64-bit)
2. Обновился список поддерживаемых гостевых ОС для конвертации
Теперь с помощью vCenter Converter вы можете перенести в виртуальную среду vSphere виртуальные и физические машины под управлением следующих операционных систем:
Windows Server 2012 (64-bit)
Windows 8.1 (32-bit and 64-bit)
Windows Server 2012 R2 (64-bit)
Windows 10 (32-bit and 64-bit)
Windows Server 2016 (64-bit)
Windows Server 2019 (64-bit)
Windows 11 (64-bit)
Windows Server 2022 (64-bit)
CentOS 6.x (32-bit and 64-bit)
Red Hat Enterprise Linux 6.x (32-bit and 64-bit)
Red Hat Enterprise Linux 7.x (64-bit)
Ubuntu 14.04 LTS (32-bit and 64-bit)
Ubuntu 16.04 LTS (32-bit and 64-bit)
Внимание! При переносе следующих файловых систем машин Linux их файловые системы будут сохранены:
ext2
ext3
ext4
reiserfs
vfat
xfs
Все остальные ФС будут сконвертированы при миграции в ext3 или ext4 на целевой виртуальной машине.
3. Обновился список поддерживаемых платформ для V2V-миграции
Теперь можно переносить в среду vSphere виртуальные машины под управлением гипервизора Hyper-V на следующих платформах Microsoft:
Windows Server 2012 (64-bit)
Windows Server 2012 R2 (64-bit)
Windows 10 (32-bit and 64-bit)
Windows Server 2016 (64-bit)
Windows Server 2019 (64-bit)
Windows 11 (64-bit)
Windows Server 2022 (64-bit)
4. Поддержка целевых платформ VMware
Теперь виртуальные и физические машины можно перенести на следующие платформы VMware:
VMware vSphere 6.5 (Update 3)
VMware vSphere 6.7 (Update 3)
VMware vSphere 7.0
VMware vSphere 7.0 (Update 1)
VMware vSphere 7.0 (Update 2)
VMware vSphere 7.0 (Update 3)
VMware Workstation 16.x
VMware Fusion 12.x
5. Программа Customer Experience Improvement Program
Теперь продукт vCenter Converter участвует в программе CEIP, что подразумевает сбор информации о пользовательских окружениях в целях улучшения их опыта. В рамках CEIP собирается следующая информация о виртуальной среде:
Configuration Data – как и что у вас настроено в плане продуктов и сервисов VMware.
Feature Usage Data - как именно вы используете возможности продуктов и сервисов.
Performance Data - производительность различных объектов виртуальной инфраструктуры в виде метрик и численных значений (отклик интерфейса, детали об API-вызовах и прочее).
Если в рамках вашего плана поддержки вы используете Enhanced Support для CEIP, то на серверы VMware для анализа отправляются еще и продуктовые логи (Product Logs). Документация по CIEP доступна здесь.
Несколько важных моментов при использовании vCenter Converter:
Converter Standalone 6.3.0 не поддерживает версии Virtual Hardware выше 11. У целевых машин возможности будут ограничены именно этой версией виртуального железа. Дальнейший апгрейд вам надо делать самостоятельно.
Пока поддерживается только размер секторов 512B (512e и 512n). Нативные 4K-диски (4Kn) не поддерживаются.
Converter Standalone 6.3 поддерживает только те ОС RHEL 6.x и CentOS 6.x, которые используют SSH-ключи с аутентификацией RSA SHA1. Новые алгоритмы, такие как RSA SHA2 или ECDSA, не поддерживаются.
Скачать VMware vCenter Converter Standalone 6.3.0 можно по этой ссылке. Release Notes доступны тут.
Как вы знаете, на прошедшей конференции Explore 2022 компания VMware анонсировала новые версии платформы виртуализации vSphere 8 и решения для создания отказоустойчивых хранилищ vSAN 8. Недавно эти решения стали доступны для скачивания как Initial Availability (IA), поэтому сейчас самое время развертывать их в своих тестовых окружениях для проверки перед большим апгрейдом.
Начать можно с виртуальной тестовой лаборатории, то есть инсталляции в рамках одного сервера или рабочей станции, где сервисы ESXi, vCenter и vSAN поднимаются в виртуальных машинах.
Для этой цели известный блоггер и инженер VMware Вильям Ламм создал на PowerCLI специальный сценарий Automated vSphere & vSAN 8 Lab Deployment, который автоматизирует развертывание компонентов виртуальной лаборатории на базе vSphere и vSAN восьмой версии.
Как видно на картинке, скрипт предназначен, чтобы развернуть три виртуальных сервера ESXi, создать на их базе кластер vSAN, а также развернуть виртуальный модуль управления vCenter Server Appliance (vCSA).
Итак для этого вам понадобятся:
Действующий vCenter Server не ниже седьмой версии
Компьютер Windows, Mac или Linux с установленным PowerShell Core и фреймворком PowerCLI 12.1 Core
Перед исполнением сценария вам нужно заполнить все его параметры, относящиеся к вашей текущей инфраструктуре и к создаваемой тестовой лаборатории, а также распаковать содержимое ISO-образа виртуального сервера vCSA.
Пример исполнения сценария показан ниже:
В итоге процесс будет выполняться пошагово до его завершения с информацией о каждом шаге:
Ну и после всего этого в vSphere Client вы увидите вашу созданную виртуальную тестовую лабораторию с тремя хостами ESXi и сервером управления vCenter / vCSA:
Скачать сценарий Automated vSphere & vSAN 8 Lab Deployment можно по этой ссылке, там же есть более подробная информация о том, как его использовать.
Недавно мы писали о новой схеме релизов платформы VMware vSphere. Согласно ей, вводится два типа выпусков - IA (Initial Availability) и GA (General Availability), которые позволяет выровнять схему релизов с продуктами облачной линейки Cloud Services в рамках доступной пользователям подписки vSphere+.
Вчера VMware объявила о доступности vSphere 8 Initial Availability - продукт можно скачать по этой ссылке. О возможностях новой версии платформы мы писали вот тут.
IA-релиз - это полностью Enterprise-ready продукт, который соответствует всем промышленным стандартам VMware уровня релиза GA, но доступен он, как правило, на 4-6 недель раньше, чтобы собрать условия его применения от клиентов (и, конечно же, критичные для инфраструктуры баги). В этот промежуток времени будут публиковаться все найденные важные проблемы.
Ставить этот релиз в производственной среде вы можете, но это не рекомендуется. Пока его лучше обкатывать на тестовых серверах и смотреть, как все работает (особенно новый функционал платформы). После выхода vSphere 8 General Availability можно смело устанавливать продукт на свои производственные серверы, так как все критичные проблемы первоначального релиза будут уже решены.
В рамках событий первого дня проходящей сейчас конференции VMware Explore 2022 была анонсировала платформа виртуализации VMware vSphere 8. Это событие очень ждали многие администраторы и менеджеры датацентров, так как с момента релиза прошлой мажорной версии платформы VMware vSphere 7 прошло уже два с половиной года. Давайте посмотрим, что нового в VMware vSphere 8...