10 марта 2020 года был анонсирован релиз VMware vSphere 7, и мы продолжаем знакомиться с новейшими технологиями для гибридного облака.
vSphere с Kubernetes
Первоочередная из возможностей vSphere 7 – это vSphere с Kubernetes (ранее известная как Project Pacific). Это очень большая тема, охватывающая вопрос трансформации vSphere для одновременной поддержки как виртуальных машин, так и контейнеров. Как говорилось ранее, Tanzu Kubernetes Grid Service обеспечивает возможность запуска, полностью соответствующего и совместимого, Kubernetes с vSphere. Однако, когда полная совместимость с проектом с открытым исходным кодом не нужна, vSphere Pod Service может предоставлять оптимизированную производительность и улучшенную безопасность за счёт изоляции, подобной виртуальным машинам. Обе эти опции доступны через VMware Cloud Foundation 4.
Важно отметить, что Kubernetes теперь встроен в vSphere, что в свою очередь позволяет разработчикам продолжить использовать стандартные для индустрии инструменты и интерфейсы для создания современных приложений. Администраторы vSphere, также получат преимущества, так как они могут управлять инфраструктурой Kubernetes при помощи тех же интерфейсов и навыков, которые они приобрели, работая с vSphere. Чтобы помочь связать эти два мира, команда разработки представила новую конструкцию vSphere, называемую пространства имён (Namespaces), позволяющее администраторам vSphere создавать логические наборы ресурсов, прав и политик, обеспечивающих подход с упором на приложения.
В дополнение к пространствам имён есть ещё несколько совершенно новых возможностей для обсуждения. Разработчики vSphere не забыли и о традиционных окружениях, которые не заинтересованы в Kubernetes, для таких окружений также имеется широкий набор новых и улучшенных возможностей. Фактически были сделаны значительные шаги для двух технологий: DRS и vMotion.
Улучшенный распределённый планировщик ресурсов (DRS)
vSphere DRS был переосмыслен для лучшего обслуживания контейнеров и виртуальных машин. DRS использовался с упором на состояние кластера и алгоритм, рекомендовал использовать vMotion, когда это могло принести преимущества балансировки нагрузки во всем кластере. Это значит, что DRS использовался для достижения баланса в кластере при помощи модели стандартного отклонения.
Но что при этом происходит с отдельной виртуальной машиной? Какое влияние vMotion окажет на нее и ее старых и новых соседей? Новая логика DRS использует совсем другой подход, который отвечает на эти вопросы. Он вычисляет оценку DRS для виртуальной машины и перемещает виртуальную машину на хост с максимальной оценкой DRS для виртуальной машины. Самое значимое отличие от старой версии DRS заключается в том, что больше не балансируется нагрузка хостов. Это значит, что DRS меньше заботится об использовании ресурсов хостов ESXi и приоритет отдается происходящему с виртуальной машиной. Оценка DRS виртуальной машины вычисляется каждую минуту и это обеспечивает более гранулированную оптимизацию ресурсов.
Специальная аппаратная поддержка (Assignable Hardware)
В vSphere 7 присутствует новая платформа, называемая Assignable Hardware, которая разработана для расширенной поддержки возможностей vSphere при использовании аппаратного ускорения. Это обеспечивает vSphere DRS (при начальном размещении виртуальной машины в кластере) и поддержку vSphere High Availability (HA) для виртуальных машин с проброшенными устройствами PCIe или NVIDIA vGPU. Связанный с назначаемым оборудованием (Assignable Hardware) новый Dynamic DirectPath I/O является способом настройки проброса для предоставления устройств PCIe напрямую в виртуальную машину. Оборудование, описывающее устройство PCIe больше не привязывается напрямую в конфигурационный файл виртуальной машины (vmx). Вместо этого оно теперь представлено, как способность устройства PCIe для виртуальной машины.
Вместе с Dynamic DirectPath I/O, NVIDIA vGPU и Assignable Hardware являются новой мощнейшей комбинацией, обеспечивающей потрясающие функциональные возможности. Например, рассмотрим виртуальную машину, которой неоьходим NVIDIA V100 GPU. Assignable Hardware теперь будет взаимодействовать с DRS при включении данной виртуальной машины (начальное размещение) для поиска хоста ESXi, который имеет доступное необходимое устройство, затем она (Assignable Hardware) занимает устройство и регистрирует виртуальную машину на данном хосте. Если на хосте происходит сбой и срабатывает vSphere HA, Assignable Hardware также позволяет данной виртуальной машине перезапуститься на подходящем хосте с доступным необходимым оборудованием.
vSphere Lifecycle Manager
vSphere Lifecycle Manager учитывает для ряд новых возможностей vSphere, связывая эти возможности воедино, чтобы сделать управление жизненным циклом лучше. При помощи vSphere Lifecycle Manager VMware создала парадигму изменения в управлении конфигурацией vCenter Server и хостов ESXi. Используя модель настройки требуемого состояния, администраторы vSphere могут разово создавать конфигурации и затем применять их, в последствии продолжая вести мониторинг требуемого состояния при помощи новых инструментов, называемых vCenter Server Profiles и Image Cluster Management. vCenter Server Profiles позволяют администраторам стандартизировать конфигурацию для всех vCenter Server и выполнять мониторинг для защиты от отклонений в конфигурации.
Cluster Image Management позволяет администраторам создавать образы на уровне кластера, которые определяют конфигурацию хостов в кластере. Образ кластера может объединять в себе релиз vSphere (ESXi), дополнения производителей (которые будут дельтой между золотым образом ESXi и OEM ISO в терминологии VUM) и дополнением микропрограммного обеспечения, которое создаст коммуникации между vSphere Lifecycle Manager и предоставляемым производителем инструментом управления микропрограммным обеспечения (или Hardware Support Manager), такого как Dell OMIVV. В данном релизе партнерами VMware выступили Dell EMC и HPE.
В-третьих, внутри vSphere Lifecycle Manager находится vCenter Server Update Planner. vCenter Server Update Planner предоставляет простой инструмент для помощи в планировании, обнаружении и обновлении клиентского окружения, а также получения уведомлений о доступности обновлений напрямую в vSphere Client. Можно использовать Update Planner для простого мониторинга матрицы взаимодействия продуктов VMware, чтобы убедиться, что доступное обновление совместимо с остальным программным обеспечением VMware в окружении. Также можно запускать набор доступных предварительных проверок для помощи в проверке совместимости версий перед началом обновления. Все это сделано для успешного обновления без каких-либо сюрпризов.
Важно отметить, что vCenter Server Update Planner работает только с vSphere 7 и старше. Таким образом, Update Planner не может помочь с обновлением с vSphere 6.x до vSphere 7, но он существенно упростит последующие обновления vSphere 7.
Переработанный vMotion
Также, как и с DRS, рассмотрим процесс vMotion с особым вниманием на том, как VMware улучшила процесс для поддержки актуальных рабочих нагрузок. Виртуальные машины с большим объемом оперативной памяти и значительной процессорной нагрузкой, такой как SAP HANA и Oracle Database вызывали проблемы при живой миграции с использованием vMotion. Влияние на производительность в процессе vMotion и потенциально продолжительная фаза переключения, которая не подходит для множества клиентов, зачастую приводит к отказу от использования vMotion для столь больших рабочих нагрузок. В vSphere 7, логика vMotion была значительно улучшена, что позволяет использовать технологию для больших рабочих нагрузок.
В общем виде, vMotion состоит из нескольких процессов. Для большинства виртуальных машин эти процессы могут быть выполнены очень быстро, зачастую настолько быстро, что миграцию можно даже не заметить. Для виртуальных машин с большим количеством процессоров и значительным объемом памяти процессы миграции, как правило, становятся заметны, иногда настолько, что приложение, запущенное в виртуальной машине, считает, что возникла проблема. В новой версии vSphere некоторые процессы были улучшены, чтобы избежать ошибок vMotion при миграции больших виртуальных машин. Один из таких процессов использует трассировщики страниц, обеспечивающие отслеживание активности изменения страниц памяти для vMotion. До vSphere 7, трассировка страниц выполнялась на всех vCPU виртуальной машины, что могло привести виртуальную машину и ее рабочие нагрузки к ограничению ресурсов самой миграцией. В vSphere 7 используется выделенный vCPU для трассировки страниц, в связи с этим виртуальная машина может продолжить работать пока происходит процесс vMotion.
Другой процесс, который был улучшен, – это копирование памяти. До vSphere 7, память перемещалась между хостами в страницах размером по 4k. vSphere 7 теперь использует страницы размером 1 Gb, вместе с несколькими другими оптимизациями, это делает перемещение данных значительно более эффективным. Состояние виртуальной машины и битовая карта страниц памяти перемещается между хостами (когда происходит переключение), улучшения сделаны для того, чтобы убедиться, что время оглушения остаётся в пределах одной секунды. Продолжительность оглушения (приостановки) виртуальной машины кране важна для очень больших виртуальных машин, им трудно перемещать битовую карту за прогнозируемое время (меньше одной секунды). Таким образом, вместо перемещения всей битовой карты – размер которой может изменяться сотнями мегабайт для большой виртуальной машины, перемещаются только необходимые страницы. Большинство страниц на самом деле уже находятся на удаленном хосте от оригинальной передачи, таким образом, VMware удалось сократить время передачи с секунд до миллисекунд.
Основной результат всех этих изменений заключается в том, что теперь vMotion можно использовать и для больших виртуальных машин.
Внутренняя безопасность
Одно из наиболее очевидных направлений улучшения безопасности – это использование политик паролей, и один из наиболее простых способов сделать это – использовать многофакторную аутентификацию (MFA). Проблема заключается в том, что существует множество путей для реализации многофакторной аутентификации (MFA), и практически невозможно расширить vCenter Server за счёт всех их. Более того, даже если VMware реализует некоторые из них, это продублирует то, что множество клиентов уже имеют в своей корпоративной системе управления идентификацией и не будет соответствовать цели – облегчить жизнь администраторам vSphere.
Решение – это федерация с использованием открытых стандартов аутентификации и авторизации, таких как OAUTH2 и OIDC. При помощи vSphere 7 и федерации идентификации (Identity Federation) vCenter Server может общаться с корпоративным провайдером идентификаторов, тем самым выводя администратора vSphere и vCenter Server из процесса. Это упрощает работу администраторам vSphere и сокращает область аудита на соответствие. Также это открывает множество путей для реализации многофакторной аутентификации, так как уже имеется возможность подключаться к таким вещам, как службы федерации Active Directory (AD FS). В vSphere 7 AD FS поддерживается из коробки и в дальнейшем будут добавлены другие поставщики.
Также была представлена vSphere Trust Authority (vTA), помогающая упростить установку доверия во всем стеке – от голого оборудования до рабочих нагрузок. vSphere Trust Authority (vTA) создаёт аппаратный корень доверия при помощи маленького, отдельно управляемого кластера узлов ESXi, который берет на себя задачу аттестации. Аттестация хоста – это процесс безопасной загрузки UEFI (UEFI Secure Boot), Trusted Platform Module (TPM) сервера и внешний сервис, которые работают вместе с использованием криптографии, чтобы убедиться, что запушено подлинное программное обеспечение в правильной конфигурации.
В vSphere 7, vTA даёт аттестации возможность проверки соблюдения правил за счёт коммуникации доверенных хостов с системами управления ключами (KMS). Это упрощает подключение к KMS, что в свою очередь упрощает аудит рисков, а также гарантирует, что хост, который не прошел аттестацию, не получит доступ к секретной информации. Без этой информации, хост не сможет запустить зашифрованные виртуальные машины. Это защищает от запуска защищённых виртуальных машин на не доверенных серверах.
Управление сертификатами, также продолжило улучшаться, за счёт сокращения количества сертификатов, необходимых для управления, а также за счёт представления нового мастера импорта сертификатов. Сертификатами пользователей решений (Solution User) более не нужно управлять и ESXi также был упрощен, чтобы его службы использовали общий сертификат. Ну и на последок доступен REST API для операционного управления, такого как обновление сертификата от VMware Certificate Authority (VMCA), что упрощает автоматизацию процесса.
Прочие улучшения
Рассмотрим ещё несколько улучшений. В первую очередь, разработчики продолжили упрощать архитектуру vCenter Server. Начиная с vSphere 7, более нет возможности развернуть внешний Platform Service Controller (PSC) или vCenter Server для Windows. Если в окружении присутствует любой из этих типов развертывания, установщик vCenter Server 7 будет автоматически мигрировать на виртуальное устройство (Appliance) vCenter Server со встроенным PSC. Не смотря на изменения архитектуры – это достаточно простой процесс, как и ранее, который не требует множества шагов и инструментов.
Также были добавлены: поддержка для нескольких сетевых интерфейсов в виртуальном устройстве vCenter Server, новые инструменты командной строки и улучшенный центр разработки (Developer Center) в vSphere Client. Также представлена новая версия оборудования виртуальной машины (VM Hardware) – 17, которая добавляет еще больше новых возможностей, таких как точные часы для поддержки PTP, vSGX и виртуальный сторожевой таймер (Virtual Watchdog), который помогает вести мониторинг кластерных приложений. Немного позже я планирую рассказать об этих возможностях подробнее.
Заключение
Как видно, vSphere 7 – это существенный релиз, который меняет правила и сценарии применения продукта в корпоративном окружении. В нем сделан серьезный упор на улучшение и упрощение управления жизненным циклом и безопасность. Также vSphere 7 продолжает расширять границы возможностей благодаря клиентам и партнёрам. И за счёт добавления Kubernetes, адаптация новейших технологий и современных приложений ускорится. vSphere 7 – это технология для гибридных облаков.
P.S. Это вторая статья в цикле, описывающая новые возможности VMware vSphere 7, больше подробностей об интеграции контейнеров в инфраструктуру vSphere представлено в предыдущей статье цикла: «VMware vSphere 7: Основные службы для современного гибридного облака». Также, VMware vSAN 7 получил множество новых возможностей, познакомится с ними можно в статье «Релиз VMware vSAN 7».
В дальнейшем я продолжу рассказывать о новых возможностях VMware vSphere 7.
Исправьте vMoution на vMotion по тексту ;)
ОтветитьУдалитьИсправил, спасибо.
Удалить