【转载】旧有功能改良补强安全性新机制再升级:新版vSphere 6.7大跃进功能强化新增一次说分明

  • 内容
  • 评论
  • 相关

转载出处:https://www.netadmin.com.tw/article_content.aspx?sn=1809050003&jump=1

作者:王伟任(王偉任)

VMware vSphere目前最新释出的版本为6.7版,相较于前一个6.5版本,表面上似乎只是一次的小版本更新,但其实已针对使用者的意见回馈,做出了非常有益于管理的改进,本文将详细说明新版本对于旧有功能的增强,以及新增的特色功能机制。

日前2018年4月17日,VMware官方正式发表全新vSphere 6.7软体定义资料中心解决方案,同时也发布软体定义资料中心(SDDC)内最重要的vCenter Server 6.7管理平台、SDS软体定义储存解决方案vSAN 6.7版本等等,如图1所示。虽然只是从vSphere 6.5更新为vSphere 6.7的小版本更新,却已相隔约一年半之后才推出。 

 


▲图1 VMware最新发布VMware vSphere 6.7打造软体定义资料中心(SDDC)解决方案。(图片来源:VMware vSphere Blog – Introducing VMware vSphere 6.7)

虽然只是vSphere 6.x的小版本更新,然而相关硬体资源支援度同样再次呈倍数提升。表1条列出企业和组织使用的主流版本vSphere 6.0、6.5以及最新的vSphere 6.7版本,在硬体资源支援度上有哪些提升(详细资讯可参考VMware KB 1003497 – ESXi Configuration Maximums)。 

全面改用HTML 5 vSphere Client 

在过去旧版的vSphere运作环境中,管理人员皆采用vSphere Web Client(Flash)管理工具,如图2所示。而最新的vSphere 6.7版本,VMware官方已经宣布旧有Flash-based的vSphere Web Client将会是「最后一版」管理工具。 

因此,管理人员应该开始改为使用全新HTML5-based的vSphere Client管理工具(图3),因为vSphere 6.7当中的HTML 5 vSphere Client管理工具,其整体功能完整性已经达到90~95%,可以顺利管理vSAN、NSX、Storage Policies、Host Profile、vDS vSwitch等等,并且VMware官方预计于2018年秋天推出完整功能的HTML 5 vSphere Client管理工具。 

▲图3 新版HTML5-based的vSphere Client管理工具。

 

将是最后一版的Windows vCenter Server 

在新版vSphere 6.7运作架构中,vCSA(vCenter Server Appliance)管理平台已经是预设的部署选项。最新版本的vCSA 6.7管理平台,除了已经包含PSC(Platform Services Controller)、Linked Mode等等功能外,透过新增的新式API相较于旧版vCSA 6.5管理平台在操作效能上提升2倍、记忆体资源使用量减少3倍、执行自动化迁移VM虚拟主机的DRS(Distributed Resource Scheduler)机制迁移速度提升3倍等等,如图4所示。 

▲图4 新版vCSA 6.7管理平台执行效率提升资源损耗下降。(图片来源:VMware官网– Introducing vSphere 6.7)

现在管理人员可以透过新版vCSA 6.7管理平台,管理任何规模大小的vSphere虚拟化基础架构,下列便是新版vCSA 6.7管理平台新增或增强的特色功能: 

‧所有vCenter Server服务在「单一执行个体」中运作。 

‧新增Enhanced Linked Mode至Embedded PSC运作架构中。 

‧无须建置负载平衡机制,即可轻松建立vCSA HA高可用性机制。 

‧支援vSphere SSO(Single Sign-On)机制达成更高的灵活性,并在vSphere SSO Domain中允许进行15次的部署作业,如图5所示。 

▲ 图5 vSphere SSO Domain with Enhanced Linked Mode运作示意图。(图片来源:VMware白皮书- What’s New in vSphere 6.7 Whitepaper)

完整支援vSphere大型运作规模。 

‧减少不必要的管理和维护节点主机数量。 

‧底层作业系统由SUSE Linux更改为Photon OS,以便更容易达成Rollback机制。 

由于vCSA 6.7管理平台已经能完全取代Windows vCenter Server管理平台,因此随着最新版本vCSA 6.7管理平台版本的发布,VMware官方也正式宣布在vSphere 6.7版本中vCenter Server for Windows管理平台,为「最后一版」的Windows vCenter Server管理平台版本,这表示后续推出的新版vCenter Server版本中,VMware官方将只会发布vCSA(vCenter Server Appliance)管理平台。 

然而,企业组织当中可能已经建立Windows vCenter Server管理平台,那么该如何将Windows vCenter Server管理平台,迁移至最新vCSA 6.7管理平台?有鉴于此,VMware官方推出VMware Migration Assistant迁移工具,如图6所示,帮助企业将Windows vCenter Server管理平台无缝迁移至最新vCSA 6.7管理平台。 

▲ 图6 VMware Migration Assistant迁移工具操作画面。

值得注意的是,倘若为旧版vSphere 5.5的Windows vCenter Server管理平台,那么必须先升级至vSphere 6.x版本才行,下列便是版本升级建议: 

‧vCenter Server 6.0/6.5版本,可直接升级至最新vCSA 6.7版本。 

‧vCenter Server 5.5版本必须先升级至vCenter Server 6.0/6.5版本后,才能升级至最新vCSA 6.7版本。 

此外,VMware官方针对vCSA管理平台,推出VAMI(vSphere Appliance Management Interface)系统管理介面,搭配整合UX Guidelines、HTML/CSS Framework和Angular技术的Clarity UI协同运作,让管理人员拥有最佳的vCSA资源管理操作体验。 

管理人员只要开启浏览器,键入vCSA 6.7管理平台的FQDN或IP位址搭配连接埠(Port)5480,即可看到vCSA管理平台的VAMI系统管理登入画面。如图7所示,顺利登入后,就能够看到vCSA管理平台的硬体资源情况,包含CPU工作负载、记忆体使用情况、vCSA资料库、储存资源等等健康资讯。 


▲ 图7 透过Clarity UI技术打造的VAMI管理介面,快速掌握vCSA管理平台硬体资源健康情况。

 


ESXi虚拟化平台再进化 

在新版vSphere 6.7运作架构中,再次增强并加速ESXi主机的生命周期以节省管理人员的维运时间,除了采用新式HTML 5 vSphere Client管理介面外,在VUM(vSphere Update Manager)管理介面的部分也同步翻新,让管理人员在升级vSphere ESXi虚拟化平台时可以轻松完成。 

在新式VUM管理介面中,如图8所示,除了预先检查ESXi虚拟化平台是否需要安装修补程序或版本升级外,在后续版本还将支援其他特色功能,例如升级VMware Tools版本、硬体相容性检查等等。 


▲ 图8 新式VUM管理介面预先检查ESXi虚拟化平台示意图。(图片来源:VMware白皮书- What’s New in vSphere 6.7 Whitepaper)

 

vSphere Quick Boot 

在过去,当管理人员执行ESXi虚拟化平台版本升级作业时,通常ESXi虚拟化平台需要重新启动数次(通常2~3次),同时现代化x86硬体伺服器配备的实体记忆体越来越大(数百GB甚至高达TB),这样的巨大硬体资源所需的初始化及检查时间也将花费数分钟。待硬体伺服器检查程序完成后进入vSphere Hypervisor虚拟化管理程序时,又要花费数分钟进行初始化及检查作业,导致ESXi虚拟化平台整体停机时间拉长许多。 

而新版vSphere 6.7中,透过新式的「vSphere Quick Boot」机制,进行ESXi虚拟化平台版本升级作业时,只须「重新启动1次」(Single Reboot)即可完成,而且无须执行硬体伺服器初始化和检查作业,有效缩短ESXi虚拟化平台停机时间。 

此外,过去当管理人员需要重新启动vSphere Hypervisor虚拟化管理程序时,只能透过重新启动ESXi虚拟化平台的连动方式来达成。现在透过新版vSphere Quick Boot快速启动机制,不必重新启动ESXi虚拟化平台,就能达成重新启动vSphere Hypervisor虚拟化管理程序的目的,此举再次有效缩短ESXi虚拟化平台停机时间。 

如图9所示,左边Remote Console的ESXi虚拟化平台,采用新式vSphere Quick Boot快速启动机制,已经进入vSphere Hypervisor虚拟化管理程序,而右边Remote Console的ESXi虚拟化平台,采用传统的Standard Reboot机制仍在x86硬体伺服器初始化及检查作业中。


▲图9 新式vSphere Quick Boot与传统Standard Reboot开机速度比较示意图。(图片来源:VMware白皮书- What’s New in vSphere 6.7 Whitepaper)

安全性功能增强 

在目前混合与多云的运作环境中,如何保护企业组织的机敏资料更显重要。因此在新版vSphere 6.7中,ESXi虚拟化平台正式支援TPM 2.0(Trusted Platform Module),能够储存加密金钥、凭证、杂凑等等资料,同时透过vTPM 2.0机制更可以将保护范围扩大到VM虚拟主机。 


ESXi虚拟化平台支援新式TPM 2.0 

在新版vSphere 6.7的运作架构中,当ESXi虚拟化平台采用的x86硬体伺服器,配置TPM 2.0安全性模组后,那么ESXi虚拟化平台便能启用「安全启动」(Secure Boot)机制,透过底层硬体保护ESXi虚拟化平台的UEFI Firmware、Boot Loader、VMKernel等初始化及开机程序,如图10所示。 


▲图10 Secure Boot机制有效保护ESXi虚拟化平台初始化及开机程序。(图片来源:VMware白皮书- What’s New in vSphere 6.7 Whitepaper)

简单来说,ESXi虚拟化平台将安全性资讯储存于TPM 2.0安全性模组中,而vCenter Server管理平台将会读取相关资讯,例如ESXi Event Log、VIB Metadata等等,并且与受管理的ESXi虚拟化平台进行匹配比较,确保ESXi虚拟化平台只会运作通过验证的程式码,可免于遭受攻击。 


vTPM 2.0扩大保护范围至VM虚拟主机 

当ESXi虚拟化平台配置TPM 2.0安全性模组后,便能启用vTPM 2.0机制并将加密金钥、凭证、杂凑等机敏资料保护机制扩大到VM虚拟主机。 

启用vTPM 2.0机制的VM虚拟主机,在客体作业系统中将会如同实体主机一样看到普通的TPM 2.0安全性模组,当管理人员需要进行加密金钥、凭证、杂凑等机制保护机敏资料时,便会将相关资料写入VM虚拟主机当中的NVRAM档案内,同时采用VM Encryption机制保护该档案,并且同时支援Windows VBS(Virtualization-Based Security)安全性机制协同运作,如图11所示。 


▲图11 TPM/vTPM支援Windows VBS安全性机制示意图。(图片来源:VMware白皮书- What’s New in vSphere 6.7 Whitepaper)

此外,启用vTPM 2.0保护机制的VM虚拟主机,当迁移或汇出至其他资料中心或云端环境时,倘若该资料中心或云端环境不支援或是使用KMS(Key Management System),仍然可以透过原有的vTPM 2.0保护机制确保机敏资料无法被恶意人士所碰触。 

旧有VMFS 3档案系统正式停用 

前一版vSphere 6.5,仅能支援读取旧有的VMFS 3档案系统但无法建立。而到了vSphere 6.7版本,旧有的VMFS 3档案系统将正式EOL(End of Life)停止使用,如图12所示,所以管理人员倘若未将VMFS 3升级至VMFS 5档案系统版本,届时就不会自动挂载VMFS 3档案系统,也将无法在VMFS 3档案系统当中建立或开启档案。


▲图12 新版vSphere 6.7运作环境中,将正式停止支援旧有VMFS 3档案系统。(图片来源:vSphere 6.7 Core Storage – VMFS 3 EOL)


LUN/Path扩充性再提升 

在vSphere 6.0版本运作环境中,储存资源LUN的最大支援数量为256传输路径1,024,在vSphere 6.5时则提升为LUN最大支援数量512传输路径2,048。在最新发布的vSphere 6.7版本中,则再次将运作规模提升至LUN最大支援数量「1,024」传输路径「4,096」。 

此外,在VM虚拟主机的部分,VMDK虚拟磁碟的数量,也从过去的16个增加至支援最多「64个」,这表示当VM虚拟主机采用PVSCSI硬碟控制器时,可以挂载的虚拟磁碟总数多达「256个」。 

因此,过去在vSphere虚拟化运作环境中,当VM虚拟主机欲建置Microsoft WSFC(Windows Server Failover Cluster)运作环境时,在pRDM的部分会有最大支援「45个vDisk/LUNs」的限制,现在则可以将其中1个PVSCSI硬碟控制器用于管理,另外3个PVSCSI硬碟控制器各自支援最多「64个vDisk/LUNs」,因此在Microsoft WSFC环境可扩大支援至总数「192个vDisk/LUNs」,如图13所示。 


▲图13 新版vSphere 6.7扩大VM虚拟主机vDisk/LUNs支援数量。(图片来源:vSphere 6.7 Core Storage – 1K/4K LUN/Path Maximum Increase)

 

支援新式4Kn储存装置 

在vSphere 6.5版本中,是采用512e来模拟4Kn的方式支援4K Byte Sector储存装置,现在新版vSphere 6.7的运作环境则采用4Kn SWE(Software Emulation)来支援4K Byte Sector储存装置,如图14所示。 


▲图14 4Kn SWE(Software Emulation)储存堆叠架构示意图。(图片来源:vSphere 6.7 Core Storage – Support for 4Kn HDDs)


值得注意的是,4Kn SWE机制有一些使用上的限制,目前仅支援ESXi虚拟化平台中本机SAS及SATA机械式硬碟,同时必须格式化为最新的VMFS 6档案系统,并且必须采用UEFI启动方式才行。 


原生支援Intel VMD技术 

关于Intel VMD(Volume Management Device)技术,除了能够汇整NVMe PCIe SSD底层的Root Port之外,还提供错误管理、热插拔、LED管理等特性达到NVMe储存装置的可维护性。 

在新版vSphere 6.7运作环境中,因为原生支援Intel VMD技术,所以安装在ESXi虚拟化平台中的DAS NVMe储存装置可直接使用,而无须额外安装相关的VIBs套件后才能顺利驱动,同时也能够无缝与vSAN软体定义储存技术整合。现在当vSAN或DAS NVMe发生升级问题或故障时,能够直接更换「单个」NVMe储存装置。 

值得注意的是,必须采用最新的Intel Xeon Scalable处理器,如图15所示,并且安装支援Intel VMD技术的NVMe驱动程式,同时执行Intel VMD LED管理功能指令的ESXi虚拟化平台版本,必须是ESXi 6.0 U3或6.5或是最新6.7才支援该Shell指令。 


▲图15 Intel VMD技术运作架构示意图。(图片来源:vSphere 6.7 Core Storage – Native support Intel VMD Technology for NVMe drives)

支援新式PMem NVDIMM储存装置 

在新版vSphere 6.7运作环境中,支援新式PMem(Persistent Memory)储存装置,如图16所示。简单来说,PMem为NVDIMM(Non-Volatile DRAM)储存装置,具备DRAM高速传输但不会因为失去电力而遗失已储存的资料。 


▲图16 PMem(Persistent Memory) NVDIMM储存装置示意图。(图片来源:vSphere 6.7 Core Storage – vSphere support for PMem NVDIMM)

PMem NVDIMM储存装置具备接近DRAM的高速特性,当CPU处理器进行存取作业时,就像存取DRAM一样。因此资料存取速度相较于目前主流的SSD快闪储存来说至少快上「100倍」以上,如图17所示。 


▲图17 主流SSD与新式PMem储存装置运作架构示意图。(图片来源:vSphere 6.7 Core Storage – vSphere support for PMem NVDIMM)

得注意的是,采用vNVDIMM储存资源的VM虚拟主机,除了必须采用Virtual Hardware version 14之外,在客体作业系统的部分也必须支援才行,例如Windows Server 2016或Red Hat 7.4等等。 

此外,虽然支援大部分的vSphere虚拟化功能,但套用vNVDIMM储存资源的VM虚拟主机,目前「不支援」快照及HA高可用性保护机制。 

正式支援RDMA 

事实上,在vSphere 6.5虚拟化平台版本中,便已经开始支援RDMA(Remote Direct Memory Access)的RoCE(RDMA over Converged Ethernet),以便于达到Kernel Bypass、Zero Copy、CPU Offloading的目的,有效降低ESXi虚拟化平台处理大量网路封包的工作负载。 


vSphere 6.7运作环境除了全面支援RDMA(InfiniBand、iWARP、RoCE v2)之外,更增强vSphere Kernel、Hypervisr以及RDMA之间的协同运作的部分,如图18所示,让整体运作效能更加提升。 

▲图18 RDMA – Kernel Bypass运作机制示意图。(图片来源:VMware白皮书- What’s New in vSphere 6.7 Whitepaper)

必须注意的是,倘若VM虚拟主机采用的RDMA为「Passthruogh Mode」时,虽然可以得到最大化的运作效能,但是将会限制VM虚拟主机的灵活性,例如无法接受DRS自动化机制的调度(无法vMotion迁移至其他ESXi虚拟化平台)。 

因此如果希望VM虚拟主机希望具备RDMA的运作效能和灵活性(例如DRS、vSphere vMotion等等),应该要采用PVRDMA(Para-Virtual Remote Direct Memory Access)机制才对。 

目前,必须符合下列相关条件才能顺利运作PVRDMA功能(详细资讯请参考官网资讯VMware Docs – PVRDMA Support): 

‧采用vSphere ESXi 6.5或6.7虚拟化平台 

‧采用vCenter Server 6.5或6.7管理平台 

‧采用vDS(vSphere Distributed Switch)虚拟交换器 

‧VM虚拟主机必须采用Virtual Hardware Version 13或14版本 

同时,当VM虚拟主机采用vRDMA机制时,如图19所示,在资料传输上将会有下列三种情境,以便管理人员判断vRDMA机制运作与否: 


▲图19 vRDMA机制运作与否情境示意图。(图片来源:vSphere 6.7 Core Storage – RDMA support in vSphere)

‧Memcpy:当VM虚拟主机之间在「同一台」ESXi主机时,将采用ESXi虚拟化平台记忆体复制机制即时传输。 

‧RDMA:当VM虚拟主机之间跨越「不同台」ESXi主机时,且两端ESXi主机皆安装支援的RDMA介面卡时,将会透过RDMA进行快速传输。 

‧TCP:当VM虚拟主机之间跨越「不同台」ESXi主机,且其中一台ESXi主机「未」安装支援的RDMA介面卡时,将采用传统的TCP/IP进行传输。 

除此之外,在新版vSphere 6.7运作环境中,更将RDMA特色功能扩大服务使用范围新增支援iSER(iSCSI Extension for RDMA)机制。简单来说,透过整合RDMA的iSER机制,可以让企业和组织常用的iSCSI网路传输作业,从传统的TCP Transport通讯协定增强为RDMA Transport,如图20所示,进而降低ESXi虚拟化平台的CPU处理器工作负载,并且全面支援原有的iSCSI管理功能,例如Discovery、Naming、Security、Error-Recovery、Boot等等。 


▲图20 iSER(iSCSI Extension for RDMA)运作架构示意图。(图片来源:vSphere 6.7 Core Storage – iSER (iSCSI Extensions for RDMA)

SW-FCoE内建于vSphere 

在过去的vSphere版本中,ESXi虚拟化平台「必须」配置硬体式FCoE(Fiber Channel over Ethernet),才能够启用SW-FCoE(Software FCoE)机制。 

而在最新发布的vSphere 6.7运作环境中,ESXi虚拟化平台「无须」配置硬体式FCoE介面卡即可启用SW-FCoE机制,如图21所示。 


▲图21 新版vSphere 6.7运作环境中SW-FCoE运作架构示意图。(图片来源:vSphere 6.7 Core Storage – SW-FCoE Native software driver for FCoE in vSphere)

除了可以省去配置昂贵的硬体式FCoE CAN介面卡之外,同时能够与支援DCB(Data Center Bridging)功能的Layer 2网路卡协同运作,因此SW-FCoE能够支援多种传输速率,例如10Gb、25Gb 、40Gb、100Gb,并且还支援Vn2Vn(Virtual node to virtual node)连线机制。 

结语 

透过本文的说明及展示后,相信读者已经了解在最新发行的vSphere 6.7版本中旧有功能增强的部分,以及各式新增的特色功能机制,在后续的文章中将针对企业和组织关心的特色功能进行深入剖析及实作演练。