Практические занятия VMware - HOL-1845-01-SLN


Обзор практического занятия HOL-1845-01-SLN, «Модернизация инфраструктуры. Создание собственного программного ЦОД»

Инструкции по практическому занятию


Примечание. На прохождение занятия потребуется более 90 минут. В течение сеанса вы завершите только 2–3 модуля. Эти модули не зависят друг от друга, поэтому можно начать с любого модуля. Для доступа к каждому модулю можно использовать раздел «Содержание».

Раздел «Содержание» доступен в верхнем правом углу руководства по практическому занятию.

Это практическое занятие посвящено модернизации инфраструктуры с помощью технологий VMware для реализации преимуществ программного центра обработки данных (ЦОД). Здесь будут описаны требования и процесс расширения виртуализации вычислительных ресурсов, хранилища и сети в ЦОД и реализации интеллектуального управления эксплуатацией для упреждающего мониторинга и администрирования среды.

Список модулей практического занятия:

Узнайте, что значит «модернизация инфраструктуры», и изучите преимущества, которые можно реализовать путем расширения виртуализации вычислительных ресурсов, хранилища и сети в ЦОД и внедрения интеллектуального управления эксплуатацией. В этом практическом занятии представлены общие сведения о процессе модернизации инфраструктуры с помощью технологий VMware и реализации преимуществ программного ЦОД.

Описание возможностей vSphere 6.5, которые упрощают создание и администрирование виртуальной инфраструктуры, служат основой для расширения ИТ-среды в частном и общедоступном облаке и для программного ЦОД.

Узнайте, как удобно расширить виртуализацию для хранилища, используя VMware vSAN — единственное решение для хранения данных, встроенное в vSphere, которое обеспечивает создание высокопроизводительной гиперконвергированной системы хранения для виртуальных машин, оптимизированной для работы с флэш-накопителями.

Описание основных возможностей VMware NSX в среде vSphere, а также роли виртуализации сетевых служб и системы безопасности в программном ЦОД.

 Инструкторы:

  • Модуль 1: Майкл Р. Федерман (Michael R. Federman), старший технический консультант, США, и Рафаэль Сильва (Rafael Silva), старший системный инженер, США
  • Модуль 2: Майкл Р. Федерман (Michael R. Federman), старший технический консультант, США
  • Модуль 3: Рафаэль Сильва (Rafael Silva), старший системный инженер, США
  • Модуль 4: Рафаэль Сильва (Rafael Silva), старший системный инженер, США

 

Данное руководство можно скачать на сайте документации по практическим занятиям по следующему адресу:

http://docs.hol.vmware.com 

Это практическое занятие может быть доступно на других языках. Чтобы выбрать язык и скачать локализованное руководство вместе с практическим занятием, используйте этот документ для получения инструкций:

http://docs.hol.vmware.com/announcements/nee-default-language.pdf


 

Расположение основной консоли

 

  1. Область в КРАСНОМ прямоугольнике содержит основную консоль. Руководство по практическому занятию находится на вкладке справа от основной консоли.
  2. В практическом занятии могут быть доступны дополнительные консоли, расположенные на отдельных вкладках вверху слева. При необходимости появится запрос на открытие требуемой консоли.
  3. В начале практического занятия таймер показывает 90 минут. Это практическое занятие нельзя сохранить. Всю работу необходимо завершить в течение одного сеанса. Вы также можете нажать EXTEND («ПРОДЛИТЬ»), чтобы увеличить время. Если вы находитесь на мероприятии VMware, длительность практического занятия можно увеличить дважды (на 30 минут в целом). Каждое нажатие кнопки увеличивает длительность на 15 минут. Вне мероприятий VMware длительность практического занятия можно увеличить до 9 часов и 30 минут. Каждое нажатие кнопки увеличивает длительность на один час.

 

 

Альтернативные способы ввода данных с клавиатуры

В ходе этого модуля вы будете вводить текст в основной консоли. Помимо прямого ввода текста, существует два полезных метода ввода комплексных данных.

 

 

Нажатие и перетаскивание содержимого руководства по практическому занятию в активное окно консоли

 
 

Вы также можете нажать и перетащить текст и команды интерфейса командной строки напрямую из руководства по практическому занятию в активное окно основной консоли.

 

 

Доступ к международной клавиатуре в Интернете

 

Вы также можете использовать международную клавиатуру в Интернете, доступную в основной консоли.

  1. Нажмите значок клавиатуры на панели быстрого запуска Windows.

 

 

Запрос активации или водяной знак

 

В начале практического занятия вы можете заметить водяной знак на виртуальном компьютере. Это указывает на то, что операционная система Windows не активирована.

Одно из главных преимуществ виртуализации — возможность перемещения и выполнения виртуальных машин на любой платформе. Практические занятия используют это преимущество, и их можно выполнять в нескольких ЦОД. Однако эти ЦОД могут быть оснащены разными процессорами, из-за чего инициируется проверка активации Microsoft через Интернет.

Решения VMware и практические занятия полностью соответствуют требованиям Microsoft к лицензированию. Текущее практическое занятие — это полностью изолированный модуль без полного доступа к Интернету, который требуется Windows для проверки активации. Без полного доступа к Интернету этот автоматический процесс завершается с ошибкой и появляется данный водяной знак.

Эта небольшая проблема никак не влияет на практическое занятие.

 

 

Посмотрите на нижнюю правую часть экрана

 

Перед началом убедитесь, что все процедуры подготовки практического занятия завершены. Если на экране отображается любое другое сообщение, кроме Ready («Готово»), подождите несколько минут. Если через пять минут сообщение не изменилось на Ready («Готово»), обратитесь за помощью.

 

Модуль 1. Введение в модернизацию ИТ-инфраструктуры (15 минут)

Введение


Этот модуль состоит из уроков по следующим темам.


Подготовка экономического обоснования для современной инфраструктуры


Описание процесса модернизации инфраструктуры

Модернизация инфраструктуры основана на использовании программного ЦОД, для чего требуется виртуализация вычислительных ресурсов, хранилища и сети. В рамках данного практического занятия будут обсуждаться такие продукты VMware, как vSphere 6.5 (вычислительные ресурсы), vSAN (хранилище) и NSX (сетевые ресурсы), для демонстрации модернизации инфраструктуры и использования vRealize Operations (vROps) для мониторинга и получения оповещений.


 

Цифровая эволюция в эпоху сред на базе нескольких облаков

Как вы знаете, в настоящее время в инфраструктуре ЦОД происходят серьезные изменения. Технологии виртуализации кардинально изменили область виртуализации вычислительных ресурсов. Однако это привело к несогласованности между высокоэффективным уровнем вычислительных ресурсов и другими компонентами ЦОД, такими как общее хранилище и сетевые службы. В результате многие организации столкнулись с высокими расходами на хранилище, сложными процессами управления и ограниченной гибкостью при использовании сетей.

Помимо этих базовых проблем, существуют три ИТ-тенденции, которые увеличивают нагрузку на ИТ-инфраструктуру и процессы эксплуатации:

Очевидно, что ЦОД предыдущих поколений не справляются с текущими задачами. Им необходимо развиваться.

 

 

 

Современная инфраструктура и подход VMware

Посмотрите видео ниже (длительность: около 13 минут), чтобы узнать, как VMware помогает модернизировать ЦОД, используя те же принципы, благодаря которым виртуализация вычислительных ресурсов стала такой успешной технологией.

 
 

 

Заключение


Благодарим за прохождение модуля 1. Дополнительные сведения об использовании программного ЦОД для модернизации инфраструктуры см. в электронной книге (http://bit.ly/2tzpHh1). В модулях 2–4 подробнее описываются технологии, представленные в этом модуле.


 

Модуль 1 завершен

Перейдите к одному из модулей ниже, соответствующему вашим интересам.

 

 

 

Завершение практического занятия

 

Чтобы завершить практическое занятие, нажмите кнопку END («ЗАВЕРШИТЬ»).  

 

Модуль 2. Виртуализация вычислительных ресурсов: vSphere 6.5 (30 минут)

Введение


Этот модуль состоит из уроков по следующим темам.


Виртуализация вычислительных ресурсов


Виртуализация вычислительных ресурсов — это процесс виртуализации ресурсов памяти и процессора в виртуальной машине (ВМ).


 

vSphere 6.5: значительное упрощение эксплуатации

Платформа vSphere 6.5 кардинальным образом повышает удобство работы заказчиков. Она предоставляет исключительно удобные возможности управления, обеспечивает высокую эксплуатационную эффективность и помогает ускорить выход на рынок.

При использовании платформы vSphere 6.5 виртуальное устройство vCenter Server Appliance (VCSA) становится основным структурным блоком среды vSphere. Базовая архитектура vSphere разработана на основе подхода, обеспечивающего удобство развертывания и администрирования служб и приложений. Таким образом, удается снизить эксплуатационную сложность за счет встраивания основных возможностей в один компонент среды. Такие возможности, как управление узлами vSphere (с полностью интегрированным экземпляром vSphere Update Manager (VUM)), резервное копирование и восстановление на уровне файлов, встроенные средства обеспечения высокой доступности устройства VCSA и многие другие, предоставляются в рамках этой новой модели универсального устройства. Пользователи могут работать эффективнее, так как теперь необходимость во взаимодействии с разными компонентами отсутствует. Кроме того, поскольку все компоненты объединены централизованной платформой, устройство VCSA помогает добиться высочайшего уровня оптимизации и модернизации ИТ-среды, в том числе улучшить масштабируемость более чем в два раза и повысить производительность в три раза. Переход к использованию этого структурного блока станет удобнее, чем когда-либо, так как теперь пользователи могут перенести традиционную среду Windows на новую модель устройства с помощью средства переноса на vCenter Server Appliance.

 

 

 

Встроенные комплексные средства обеспечения безопасности

Из-за растущего числа угроз комплексные средства обеспечения безопасности становятся важными как никогда. Платформа vSphere 6.5 предоставляет встроенные и масштабируемые средства защиты ИТ-инфраструктуры, данных и доступа к ним в рамках удобной в эксплуатации модели на основе наборов правил. Обеспечение безопасности этих трех компонентов является важным фактором успешной цифровой трансформации и развития любой компании.

Для обеспечения безопасности данных в vSphere 6.5 используется новый механизм шифрования дисков на уровне виртуальной машины, который предназначен для защиты от несанкционированного доступа к данным. Подход VMware, одновременно универсальный и масштабируемый, предоставляет возможность шифровать любой диск ВМ, независимо от гостевой ОС, а также управлять шифрованием с возможностью масштабирования, используя знакомую платформу с наборами правил хранения vSphere. В сочетании с новым компонентом vMotion с поддержкой шифрования vSphere обеспечивает безопасность как данных на хранении, так и передаваемых данных.

Для защиты базовой инфраструктуры в vSphere 6.5 также используется модель безопасной загрузки, обеспечивающая защиту как гипервизора, так и гостевой операционной системы. Эта модель исключает возможность несанкционированного доступа к образам и предотвращает загрузку несанкционированных компонентов.

Платформа vSphere 6.5 также предоставляет улучшенные возможности для ведения журналов качества аудита, помогающие получать аналитические данные о действиях пользователей. ИТ-специалисты могут точно определить, кто, когда и где совершил то или иное действие, если это необходимо для анализа аномалий или угроз безопасности.

Платформа vSphere 6.5 — ядро безопасного программного ЦОД, которое оптимизировано для работы с другими его компонентами для обеспечения комплексной защиты инфраструктуры.

 

 

Знакомство с vSphere 6.5


В этом разделе рассматриваются возможности администрирования платформы vSphere 6.5 с использованием веб-клиента на основе Flash/Flex и веб-клиента на основе HTML5.


 

Выбор клиента

Управлять решением vSphere 6.5 можно, используя два клиента, доступные в браузере: веб-клиент на основе Flash/Flex и клиент на основе HTML5. Веб-клиент представляет собой полнофункциональную замену старому клиенту на C#, который также называли «толстым клиентом». HTML5-клиент — это бывшее приложение VMware Fling, которое добавлено в пакет vSphere 6.5, однако его возможности ограничены.

 

 

Вход в веб-клиент vSphere

 

На панели закладок в браузере Chrome выберите элемент vCenter (Web Client) («vCenter (Веб-клиент»).

 

 

Навигация в веб-клиенте vSphere 6.5

 

После входа в систему ознакомьтесь с интерфейсом. На первой странице отображается представление Hosts and Clusters («Узлы и кластеры»), на котором можно увидеть все шесть узлов ESXi и созданную нами двухкластерную конфигурацию.

Здесь представлены вычислительный кластер (RegionA01-COMP01), в котором размещены три узла ESXi, трехуровневое приложение (оно понадобится нам в ) и кластер управления (RegionA01-MGMT01), в котором размещены оставшиеся три узла ESXi. Для каждого узла настроен NSX Controller.

 

 

Шифрование vMotion

Одна из новых возможностей, представленных в vSphere 6.5, — это шифрование vMotion. Для шифрования vMotion доступно три параметра:

  1. Disabled («Отключено»)
    • Не использовать шифрование vMotion, даже если оно доступно
  2. Opportunistic («Условно»)
    • Использовать шифрование vMotion, если исходный и целевой узлы его поддерживают, в противном случае использовать vMotion без шифрования. Этот параметр используется по умолчанию.
  3. Обязательные модули
    • Разрешается использовать только шифрование vMotion. Если исходный или целевой узел не поддерживает шифрование vMotion, использование vMotion не разрешается.

 

 

Обзор HTML5-клиента vSphere 6.5

 

На панели закладок в браузере Chrome выберите элемент vCenter (HTML5 Client) («vCenter (HTML5-клиент)»).

 

Управление vSphere 6.5


В этом разделе описываются возможности управления vSphere 6.5.


 

Открытие Google Chrome

 

 

 

Вход в систему управления устройствами vSphere

 

После запуска браузера Chrome нажмите vSphere Management («Управление vSphere») на панели закладок.

 

Обзор интеллектуального управления процессами


В этом разделе вы изучите панели мониторинга vRealize Operations Manager, которые используются для отслеживания работы среды vSphere.


 

vRealize Operations Manager (vROps)

VMware обеспечивает интеллектуальное управление процессами на всех уровнях — от приложений до инфраструктуры — для планирования, администрирования и масштабирования программных ЦОД и сред на базе нескольких облаков. Эта масштабируемая, расширяемая и интуитивно понятная платформа управления процессами повышает производительность и доступность благодаря мониторингу с учетом особенностей приложений, устранению неполадок и унифицированной визуализации работоспособности приложений и инфраструктуры в программных ЦОД и средах на базе нескольких облаков.

Она упрощает операции, автоматизируя управление инфраструктурой и приложениями за счет автоматической балансировки рабочих нагрузок и механизма упреждающего выявления и автоматического устранения проблем и отклонений. Эта платформа сопоставляет эксплуатационные и бизнес-показатели, что помогает ускорить планирование ресурсов облака и их размещение в нескольких облаках, а также снизить расходы и риски за счет оптимизации использования ресурсов, точного прогнозирования потребностей в ресурсах и соблюдения стандартов.

 

 

 

Вход в vROps

 

Откройте браузер Google Chrome.

 

 

Просмотр панелей мониторинга

 

На начальном экране входа в систему отображается общее представление среды. В данном случае доступен один экземпляр vCenter и один ЦОД, все компоненты работоспособны, поэтому состояние обозначено зеленым цветом. Перейдем к панелям мониторинга, нажав вкладку Dashboards («Панели мониторинга»).

 

 

Оповещения в vROps

 

Для просмотра оповещений в vROps откройте вкладку Alerts («Оповещения») в строке меню, а затем разверните список Today («Сегодня»), чтобы посмотреть оповещения за сегодняшний день.

 

 

Обзор среды

 

Последний элемент, который мы здесь изучим, — это раздел Environment («Среда»). Выберите Environment («Среда») в верхней строке меню.

 

 

Выход из vROps

 

Выйдите из vROps и закройте браузер.

 

Заключение


В этом модуле вы изучили возможности администрирования vSphere 6.5 с использованием веб-клиента на основе Flash/Flex и HTML5-клиента. Вы посетили портал администрирования VCSA и осуществили мониторинг среды с помощью vROps.


 

Модуль 2 завершен

Поздравляем! Вы изучили модуль 2.

Дополнительные сведения о vSphere 6.5 см. в следующих ресурсах:

Перейдите к одному из модулей ниже, соответствующему вашим интересам.

Для более глубокого изучения vSphere 6.5 или vROps в этом году будут представлены дополнительные практические занятия.

  • HOL-1811-01-SDC, «vSphere 6.5: новые возможности»
  • HOL-1811-02-SDC, «vSphere with Operations Management: начало работы»
  • HOL-1811-03-SDC, «vSphere with Operations Management: дополнительные темы»
  • HOL-1801-01-CMP, «vRealize Suite Standard: планирование и оптимизация облачных ресурсов»
  • HOL-1801-02-CMP, «vRealize Suite Standard: автоматизированное и упреждающее управление» 

 

 

Завершение практического занятия

 

Чтобы завершить практическое занятие, нажмите кнопку END («ЗАВЕРШИТЬ»).  

 

Модуль 3. Виртуализация хранилища: vSAN 6.6 (30 минут)

Введение


При использовании подхода «Создание собственной современной инфраструктуры» для реализации программного ЦОД решение VMware vSAN помогает преобразовать стандартные серверы x86 и системы хранения данных с прямым подключением в экономичные, широкомасштабируемые структурные блоки с программными вычислительными и сетевыми ресурсами. Такой эволюционный программный подход открывает компаниям путь к удобному повышению адаптивности и гибкости с помощью интегрированных платформ, включающих в себя мощные, удобные в развертывании решения по централизованному управлению, которые действительно обеспечивают поддержку цифровой трансформации.

Этот модуль состоит из уроков по следующим темам.


Обзор VMware vSAN


В этом разделе представлен краткий обзор виртуализации хранилища с помощью VMware vSAN и требований к развертыванию и реализации vSAN в этой среде.


 

Создание собственной современной инфраструктуры с помощью vSAN

VMware vSAN является стандартной и основной системой хранения для создания программного ЦОД. Процесс настройки и сборки каждой системы можно стандартизировать, используя совместимое оборудование, при этом все компоненты на каждом узле устанавливаются одинаковым образом. Стандартизация всех физических процессов настройки узлов ESXi необходима для реализации инфраструктуры с удобными возможностями управления и поддержки, так как она устраняет вариативность. Единообразное расположение гнезд PCI-плат (особенно для сетевых контроллеров) крайне важно для точного согласования физических портов ввода-вывода с виртуальными.

 

 

Обзор VMware vSAN

vSAN — это программное хранилище для ведущих в отрасли гиперконвергированных систем VMware. vSAN предоставляет уникальное встроенное в vSphere хранилище, а также возможность выбирать аппаратные и программные решения из обширной экосистемы. Данное решение станет идеальным первым шагом для организаций, желающих естественным путем, без риска, начать использование гиперконвергированной инфраструктуры и перевести ресурсы на стратегические проекты. Исследования показывают, что использование vSAN сокращает эксплуатационные расходы на 60% за счет экономии на занимаемом пространстве ЦОД, трудовых ресурсах, электроэнергии и охлаждении.

Решение vSAN полностью интегрировано с платформой vSphere и поддерживает все популярные возможности vSphere, такие как DRS, HA (режим высокой доступности), vMotion и др. Решение vSAN также интегрировано с vRealize Suite для более масштабных автоматизированных сред.

Основные преимущества

Технические характеристики

 

 

Требования к использованию vSAN: vCenter Server

Для использования vSAN 6.5 требуются компоненты vCenter и ESXi версии 6.5, а администрирование возможно с помощью устройства vCenter Server Appliance (VCSA) или vCenter Server на базе Windows. Для настройки vSAN необходим веб-клиент vSphere.

 

 

Требования к использованию vSAN: ESXi

Решению vSAN требуется не менее трех узлов vSphere (с локальным хранилищем на каждом), чтобы сформировать поддерживаемый кластер vSAN. Это необходимо, чтобы кластер соответствовал минимальным требованиям к доступности кластера в случае отказа одного узла. На узлах vSphere должен быть установлен выпуск vSphere 6.5. При меньшем числе узлов доступность ВМ в случае сбоя одного узла будет под угрозой. Максимальное число поддерживаемых узлов — 64.

На каждом узле vSphere в кластере, который предоставляет локальное хранилище для vSAN, должен быть по как минимум один жесткий диск и по крайней мере один твердотельный диск.

 

 

Требования к использованию vSAN: диски и сетевые ресурсы

ВАЖНО! Все компоненты (оборудование, драйверы и микропрограммы) должны быть приведены в руководстве VMware по совместимости для vSAN. Все другие конфигурации не поддерживаются.

Порт VMkernel помечается как порт для трафика vSAN. Он используется для связи узлов из разных кластеров, а также для чтения и записи в тех случаях, когда виртуальная машина принадлежит одному узлу vSphere в кластере, а блоки данных, составляющие файлы этой машины, расположены на другом узле. В этом случае ввод-вывод осуществляется через сеть, настроенную между узлами в этом кластере.

 

 

Знакомство с VMware vSAN


В этом разделе описываются возможности веб-клиента vSphere для включения, администрирования и мониторинга vSAN.

Во-первых, следует отметить, что для использования VMware vSAN не требуется развертывание виртуальных устройств хранения или пакетов установки vSphere на каждом узле кластера. Решение vSAN интегрировано с гипервизором vSphere и обычно потребляет на 10% меньше вычислительных ресурсов на каждом узле. vSAN не конкурирует с другими ВМ за ресурсы, а путь ввода-вывода vSAN короче.

 

Выполнение vSAN в ядре обеспечивает преимущества, недоступные в других системах. Благодаря этому данная технология также наследует все встроенные возможности vSphere системного уровня, в том числе полностью интегрированную и упрощенную модель управления.

В этом уроке показано, как удобно включить и администрировать vSAN в vCenter с помощью веб-клиента vSphere.


 

Важные аспекты при включении vSAN

Кластер vSAN может содержать узлы с дисками и без дисков.

Следуйте этим инструкциям при создании кластера vSAN.

После включения vSAN поставщик хранилища vSAN автоматически регистрируется на vCenter Server и создается хранилище vsanDatastore.

 

 

Открытие браузера Chrome

 

  1. Нажмите значок Chrome на панели быстрого запуска Windows.

 

 

Переход на главную страницу веб-клиента vSphere

 

После входа в систему откроется главная страница веб-клиента vSphere.

Вы можете свернуть или развернуть области Recent Tasks («Недавние задачи»), Alarms («Оповещения») и Work In Progress («В процессе»), нажав значок скрепки.

 

 

Включение vSAN

 

 Выберите элемент RegionA01-COMP01, перейдите в раздел Configure > vSAN > General («Настройка > vSAN > Общие») и выберите Configure («Настроить»).

В этой среде решение vSAN отключено. Мы включим его для кластера RegionA01-Com01.

Примечание. В этой среде решение vSAN настроено и включено только для кластера RegionA01-COMP01. Все три узла ESXi предоставляют ресурсы кэша и хранилища для формирования хранилища vsanDatastore.

 

 

Настройка vSAN

 

Откроется диалоговое окно Configure vSAN («Настройка vSAN»). В рамках этого практического занятия дедупликация и сжатие НЕ включаются, а домены отказоустойчивости и распределенные кластеры НЕ настраиваются.

1. Нажмите кнопку Next («Далее»), чтобы продолжить включение vSAN.

 

 

Резервирование диска vSAN

 

Диски, доступные для резервирования, должны ОТСУТСТВОВАТЬ. Диски для этого практического занятия уже настроены.

  1. Нажмите кнопку Next («Далее»).
  2. Нажмите кнопку Finish («Готово»).

 

 

Вкладка General («Общие») vSAN

 

На вкладке General («Общие») отображаются состояние службы vSAN и возможности, включенные в кластере vSAN. На этом этапе должны отображаться сообщения vSAN is Turned ON («Служба vSAN включена») и Deduplication and compression are Disabled («Дедупликация и сжатие выключены»).

Служба vSAN должна использовать все шесть дисков (по два на каждом узле), а версии формата всех дисков должны совпадать.

Примечание. Для завершения настройки vSAN и загрузки страницы состояния может потребоваться несколько минут.

 

 

Управление дисками vSAN

 

1. Выберите элемент Cluster RegionA01-COMP01 («Кластер RegionA01-COMP01») и перейдите в раздел Configure > vSAN > Disk Management («Настройка > vSAN > Управление дисками»).

Отобразится группа дисков vSAN на каждом узле ESXi. На каждом узле есть одна группа дисков с одним флэш-накопителем для кэширования и одним флэш-накопителем для постоянного хранения. Это конфигурация vSAN на основе флэш-накопителей.

 

 

Перенос виртуальных машин в хранилище vsanDatastore

 

После включения vSAN вы без труда сможете перенести виртуальные машины в хранилище vsanDatastore. В этом разделе мы переместим виртуальную машину web-01a.

  1. Выберите элемент Home («Главная»).
  2. Выберите Hosts and Clusters («Узлы и кластеры»).
  3. Разверните кластер RegionA01-COMP01.
  4. Наведите курсор на пункт web-01a и нажмите правую кнопку мыши.
  5. Выберите Migrate («Перенести»).

 

 

Выбор параметра Change Storage Only («Изменить только хранилище»)

 

  1. Выберите параметр Change Storage Only («Изменить только хранилище»).
  2. Нажмите кнопку Next («Далее»).

 

 

Выбор хранилища vsanDatastore

 

  1. Выберите элемент vsanDatastore.
  2. Нажмите кнопку Next («Далее»).
  3. Нажмите кнопку Finish («Готово»).

Начнется перенос виртуальной машины Web-01a из текущего хранилища данных iSCSI в vsanDatastore. Это может занять несколько минут.

Состояние можно отслеживать на странице Recent Tasks («Недавние задачи»).

 

 

 

Проверка емкости хранилища vSAN

 

1. Нажмите Storage («Хранилище»), затем выберите vsanDatastore и нажмите Summary («Сводка»).

Емкость отображается как общая емкость устройств хранения на всех узлах ESXi в кластере (за вычетом емкости, используемой vSAN).

Флэш-устройства, используемые как кэш, не учитываются при расчете объема.

 

 

 

Работоспособность и производительность

Служба обеспечения производительности vSAN предоставляет различные сведения о производительности, такие как пропускная способность и задержка, на разных уровнях (на уровне узлов, кластера, группы дисков vSAN и ВМ). Сначала необходимо убедиться, что служба обеспечения производительности включена.

 

 

Служба обеспечения производительности vSAN

 

Чтобы убедиться, что служба обеспечения производительности vSAN включена, перейдите в раздел Hosts and Clusters («Узлы и кластеры») и выберите RegionA01-COMP01. Перейдите в раздел Configure > vSAN > Health and Performance («Настройка > vSAN > Работоспособность и производительность»).

На вкладке Health and Performance («Работоспособность и производительность») можно увидеть, что служба запущена и функционирует без проблем. База данных истории производительности vSAN хранится как объект vSAN. Набор правил контролирует доступность, потребление пространства и производительность объекта. Если объект становится недоступным, история производительности для кластера также будет недоступна.

 

 

Просмотр сведений о производительности

 

Изучим некоторые данные о производительности нашего кластера vSAN. Выберите кластер RegionA01-COMP01 и перейдите в раздел Monitor > Performance > vSAN - Virtual Machine Consumption («Мониторинг > Производительность > vSAN — Потребление виртуальной машины»).

На уровне кластера доступны такие статистические данные, как число операций ввода-вывода в секунду, пропускная способность и задержка. По умолчанию отображается информация за последний час. Временной диапазон можно изменить, например для отображения статистики за последние три часа или другой период.

 

 

Переход в раздел vSAN - Backend («vSAN — внутренние операции»)

 

В разделе vSAN - Backend («vSAN — внутренние операции») отображаются сведения о внутренних операциях ввода-вывода, таких как обновления метаданных vSAN, инициализация ВМ и повторное создание объектов. Как и в разделе vSAN - Virtual Machine Consumption («vSAN — потребление виртуальной машины»), здесь доступны данные о перегрузке, операциях ввода-вывода в секунду и невыполненных операциях ввода-вывода.  

 

 

Узлы ESXi: данные о производительности vSAN

 

1. Перейдите в раздел Hosts and Clusters («Узлы и кластеры») и выберите элемент ESX-01a.corp.local.

2. Нажмите Monitor > Performance («Мониторинг > Производительность»).

Данные о производительности vSAN также доступны на уровне узла ESXi. Кроме того, можно просмотреть сведения о группах дисков и отдельных физических дисках. На некоторых графиках отображаются различные статистические данные, например число операций ввода-вывода в секунду для чтения и записи интерфейса, буфер записи и задержка операций ввода-вывода.

Вы можете перейти на различные вкладки и изучить данные о производительности, доступные на уровне узла.

 

 

Проверка работоспособности vSAN

Встроенная проверка работоспособности vSAN была представлена в выпуске vSAN 6.1. Эта процедура выполняет ряд упреждающих проверок конфигурации и состояния и оповещает пользователей о возможных рисках в среде. Рассмотрим эти важные возможности vSAN.

 

Нажмите Hosts and Clusters («Узлы и кластеры») и выберите кластер RegionA01-COMP01. Перейдите в раздел Monitor > vSAN > Health («Мониторинг > vSAN > Работоспособность»).

Здесь отображается список проверок работоспособности и общее состояние: Passed («Пройдено»), Warning («Предупреждение») или Errors («Ошибки»). Все тесты можно развернуть для просмотра отдельных проверок в каждом из них.

 

 

Проверка работоспособности vSAN: Ask VMware («Задать вопрос VMware»)

 

Еще одна удобная возможность проверки работоспособности — ссылка Ask VMware («Задать вопрос VMware») в каждом тесте. Эта ссылка направляет администраторов напрямую в статью Базы знаний VMware с описанием цели теста, причин его неудачного прохождения и возможных способов исправления ситуации. В случае ошибки какого-либо из тестов администраторам всегда следует нажать кнопку Ask VMware («Задать вопрос VMware») и прочитать соответствующую статью Базы знаний. Во многих случаях в статье будет представлен способ разрешения проблемы. В других ситуациях администраторам следует обратиться в службу поддержки VMware.

1. Разверните пункт Hardware compatibility Test («Тест совместимости оборудования») и выберите строку Controller is VMware Certified for ESXi Release («Контроллер сертифицирован компанией VMware для этого выпуска ESXi»).

Здесь можно просмотреть сведения о наличии поддерживаемого драйвера для данного контроллера в установленном выпуске ESX.

ВНИМАНИЕ! Данная среда практического занятия не подключена к Интернету и не может получить доступ к Базе знаний VMware.

 

 

Работоспособность списка совместимого оборудования vSAN

 

Проверка работоспособности списка совместимого оборудования Virtual SAN помогает убедиться, что оборудование контроллера хранилища и версия драйвера есть в списке совместимого оборудования и поддерживаются для этой версии vSAN. Если контроллера или драйвера нет в списке или они не поддерживаются для этой версии vSAN (а именно для версии ESXi, на базе которой выполняется vSAN), отображается предупреждение.

Еще одна проверка выполняется для подтверждения актуальности базы данных совместимого оборудования vSAN. Другими словами, она помогает убедиться, что все проверки выполняются с использованием действительной и обновленной версии базы данных совместимого оборудования.

 

 

Обновление базы данных совместимого оборудования

 

Чтобы убедиться, что база данных совместимого оборудования vSAN обновлена, выберите элемент Hosts and Clusters > RegionA01-COMP01 («Узлы и кластеры > RegionA01-COMP01») и перейдите в раздел Configure > vSAN > Health and Performance («Настройка > vSAN > Работоспособность и производительность»).

Так как список совместимого оборудования обновляется регулярно и часто, администраторам следует обновить локальную версию базы данных для этих проверок. Это можно сделать через Интернет (если у vCenter Server есть доступ к веб-сайту VMware.com). Если же у vCenter Server нет доступа к Интернету, можно скачать файл базы данных совместимого оборудования и обновить его. Чтобы обновить версию базы данных совместимого оборудования через Интернет, нажмите Update from file («Обновить из файла») или Get latest version online («Получить последнюю версию через Интернет»), как показано в тесте проверки работоспособности.

 

Интеллектуальное управление vSAN с помощью vROps


В этом разделе вы изучите панели мониторинга vRealize Operations Manager, которые используются для отслеживания работы среды vSAN.

 

Каждый новый выпуск vRealize Operations Manager (vROps) является результатом упорного труда по интеграции различных продуктов VMware в готовой платформе, которая предоставляет удобные возможности и помогает ускорить реализацию преимуществ. Выпуск vROps 6.6 представляет собой решение с расширенной интеграцией возможностей мониторинга и администрирования других продуктов VMware, таких как vSAN.

Новые возможности:


 

Открытие Chrome

 

Нажмите значок Google Chrome на панели быстрого запуска Windows.

 

 

Выполните вход в vRealize Operations Manager как администратор.

 

  1. Выберите Local Users («Локальные пользователи»).
  2. Введите имя пользователя: admin.
  3. Введите пароль: VMware1!.
  4. Нажмите кнопку Log In («Вход»).

 

 

Просмотр панелей мониторинга vSAN

 

На экране Dashboard («Панель мониторинга») представлены все готовые и пользовательские панели мониторинга, созданные для среды. В этом разделе описываются встроенные панели мониторинга vSAN.

  1. Чтобы открыть страницу панелей мониторинга, нажмите Dashboards («Панели мониторинга») в верхней строке меню.
  2. В левой области появится список всех панелей мониторинга для vSAN.
  3. Если некоторые панели мониторинга vSAN отсутствуют, их можно включить, выбрав каждую из них в разделе All Dashboards («Все панели мониторинга»).
  4. Нажмите vSAN Operations Overview («Обзор процессов vSAN»).

 

 

Панель мониторинга vSAN Operations Overview («Обзор процессов vSAN»)

 

Панель мониторинга vSAN Operations Overview («Обзор процессов vSAN») — это удобный способ просмотра общих сведений о работоспособности и производительности кластеров vSAN. Она помогает получить целостное представление о среде vSAN и компонентах, из которых эта среда состоит. Кроме того, здесь можно изучить тенденции роста виртуальных машин, которые обслуживает vSAN. Помимо общего представления, на этой панели мониторинга можно просмотреть основные свойства каждого кластера vSAN.

Пользователь может просмотреть подробные сведения о кластере, выбрав его и изучив детализированные статистические данные о производительности, использовании и емкости. Панель мониторинга также отображает известные проблемы, которые могли возникнуть в средах vSAN.

Изучите компоненты панели мониторинга, чтобы ознакомиться со всем спектром собираемых данных.

 

 

Панель мониторинга vSAN Capacity Overview («Обзор емкости vSAN»)

 

Далее мы рассмотрим панель мониторинга vSAN Capacity Overview («Обзор емкости vSAN»).

  1. Выберите All Dashboards («Все панели мониторинга») на странице Dashboard («Панель мониторинга»).
  2. В разделе Capacity & Utilization («Емкость и использование») выберите vSAN Capacity Overview («Обзор емкости vSAN»).

 

 

Знакомство с панелью мониторинга vSAN Capacity Overview («Обзор емкости vSAN»)

 

  1. Нажмите элемент vSAN Cluster (RegionA01-COMP01) («Кластер vSAN (RegionA01-COMP01)») в списке кластеров vSAN.

Панель мониторинга vSAN Capacity Overview («Обзор емкости vSAN») упрощает управление емкостью vSAN, предоставляя готовые сведения о доступных ресурсах хранилища и их использовании для всех кластеров vSAN. Она помогает четко определить окупаемость инвестиций для массива vSAN на основе флэш-накопителей, отображая экономию ресурсов хранилища благодаря дедупликации и сжатию. Так как о кластерах в основном вспоминают, когда речь заходит о емкости, эта панель мониторинга предоставляет возможность просмотреть подробные сведения о каждом кластере, чтобы узнать оставшуюся емкость и время до израсходования ресурсов хранилища на основе предыдущих тенденций использования.

Эта панель мониторинга предоставляет сведения о равномерности использования ресурсов каждого диска в кластере vSAN, что помогает определить уровень распределения нагрузки по дискам. Служба vSAN использует внутренние алгоритмы балансировки, чтобы обеспечить оптимальную производительность дисков, однако администратор также может вручную инициировать балансировку при значительном отклонении использования разных дисков.

Примечание. Так как вы включили vSAN в предыдущем модуле, у решения vROps не было достаточно времени для сбора данных и создания отчета. Здесь для примера показаны данные, полученные ранее.

 

 

Открытие панели мониторинга Troubleshooting vSAN («Устранение неполадок vSAN»)

 

  1. Перейдите в раздел All Dashboards («Все панели мониторинга»).
  2. Нажмите Performance Troubleshooting («Устранение неполадок с производительностью»).
  3. Откройте панель мониторинга Troubleshoot vSAN («Устранение неполадок vSAN»).

 

 

Панель мониторинга Troubleshoot vSAN («Устранение неполадок vSAN»)

 

Панель мониторинга Troubleshoot vSAN («Устранение неполадок vSAN») создана специально для администраторов vSAN. После выявления возможной проблемы в среде vSAN можно использовать данную панель мониторинга для проведения причинно-следственного анализа по правилу исключения.

На панели мониторинга отображаются все кластеры vSAN, а также основные сведения об иерархии, чтобы пользователь мог быстро изучить основные свойства кластера. После выбора кластера можно отобразить все известные проблемы с каждым объектом, связанным с этим кластером. Это могут быть кластеры, базы данных, группы дисков, физические диски и, что самое главное, виртуальные машины, которые обслуживает выбранный кластер vSAN.

Затем на панели мониторинга можно просмотреть основные показатели использования и производительности, а также тенденцию использования и работы кластера за последние 24 часа. При анализе предыдущих проблем можно без труда обратиться к данным за прошлые периоды.

 

 

Выход из vROps

 

 

Заключение


В этом модуле вы изучили возможности администрирования VMware vSAN с использованием веб-клиента vSphere. Мы обсудили требования к включению vSAN и способы администрирования и мониторинга инфраструктуры vSAN с помощью веб-клиента vSphere и vROps.


 

Модуль 3 завершен

Поздравляем! Вы изучили модуль 3.

Для получения дополнительных сведений о VMware vSAN примите участие в следующих практических занятиях:

Перейдите к одному из модулей ниже, соответствующему вашим интересам.

 

 

Завершение практического занятия

 

Чтобы завершить практическое занятие, нажмите кнопку END («ЗАВЕРШИТЬ»).  

 

Модуль 4. Виртуализация сети: NSX 6.2 (30 минут)

Введение


Ознакомьтесь с удобными возможностями виртуализации сетевой среды с помощью VMware NSX.

Этот модуль состоит из уроков по следующим темам.


Обзор VMware NSX


В этом разделе представлен краткий обзор решения VMware по виртуализации сети и его основных сценариев использования.

VMware NSX® — основа программного центра обработки данных, единая инфраструктура виртуализации, которая дает возможность развивать ИТ в соответствии с требованиями бизнеса без ущерба для безопасности и доступности критически важных приложений. Обычно сетевые средства и механизмы обеспечения безопасности реализованы на аппаратном уровне, но в NSX они встроены непосредственно в гипервизор. Поэтому виртуальные машины могут использовать эти возможности, а ИТ-среда — развиваться по мере роста бизнеса.


 

Абстрагирование сетевого оборудования

Большинство организаций уже виртуализировали вычислительные компоненты ЦОД, при этом подавляющее большинство из них виртуализировало 50–100% серверов. Кроме того, как излагалось в модуле 3, компании стремятся виртуализировать хранилище, при этом более 70% организаций уже внедрили программное хранилище или планируют это сделать. Благодаря абстрагированию возможностей от оборудования и их переносу на программную платформу компании получают возможность быстро инициализировать приложения, перемещать виртуальные системы из одних центров обработки данных в другие и автоматизировать процессы. К сожалению, ряд преимуществ все еще недоступен из-за медленного развития сетевых компонентов центров обработки данных, которые до сих пор не входят в состав виртуализированной инфраструктуры. Из-за этого весь потенциал программных ЦОД во многих организациях реализован не полностью.

Бизнесу нужна абсолютно новая сетевая инфраструктура, где нет места компромиссу между быстродействием, безопасностью и адаптивностью. Подход к использованию центров обработки данных нужно менять: ИТ-отделы должны беспрепятственно и в полном объеме реализовать все возможности для бизнеса. Тысячи компаний пришли к выводу, что виртуализация сети — это именно то, что им нужно.

 

 

Создание современной ИТ-инфраструктуры с помощью VMware NSX

Виртуализация сети — это перенос сетевых компонентов и служб безопасности на уровень виртуализации ЦОД, благодаря чему можно быстро и без труда создавать среды приложений, делать их снимки, хранить, перемещать, удалять и восстанавливать их с помощью виртуальных машин. Это, в свою очередь, обеспечивает беспрецедентно высокий уровень безопасности и эффективности. VMware NSX — это платформа виртуализации сети программного ЦОД. Она абстрагирует возможности, которые раньше были реализованы с помощью сетевого оборудования (коммутаторов, маршрутизаторов и брандмауэров), и помещает их в гипервизор. Таким образом, NSX создает «сетевой гипервизор», распределенный внутри ЦОД. С помощью NSX ИТ-специалисты получают возможность внедрять инновационные технологии, удовлетворять требования множества заинтересованных лиц, а не рассматривать их как конкурирующие и взаимоисключающие. Теперь они могут не только обеспечивать беспрецедентно высокий уровень безопасности, но и делать это с необходимой для бизнеса скоростью. Благодаря непрерывной работе приложений, автоматизации ИТ-процессов, принятию важнейших мер по защите центров обработки данных, использованию расписаний бизнес-процессов и временных ограничений по ним существенно упрощается эксплуатация, а также сокращаются сопутствующие расходы.

 

 

Безопасность

Традиционные аппаратные решения реализуют строгие меры безопасности по периметру центра обработки данных, тогда как внутри он остается незащищенным. NSX, напротив, обеспечивает фундаментальную защиту ЦОД, интегрируя виртуализированные средства безопасности и распределенные брандмауэры непосредственно в его инфраструктуру. Это дает возможность применения наборов правил ко всем рабочим нагрузкам. В NSX впервые реализована на практике гибкая система безопасности, применяющая наборы правил к рабочим нагрузкам даже при их перемещении, независимо от сетевой топологии. В результате существенно уменьшаются риски для бизнеса, поскольку значительно упрощается работа системы безопасности, а защитные меры можно быстро адаптировать к изменяющимся угрозам.

 

 

 

Автоматизация

Автоматизация лежит в основе адаптивности и целостности ИТ-среды, что, в свою очередь, значительно сокращает совокупные эксплуатационные расходы. Однако ИТ-подразделения, ограниченные возможностями оборудования, не могут реализовать эффективную стратегию автоматизации для достижения часто противоречивых целей. Сетевое оборудование особенно сильно зависит от задаваемых вручную (и часто с ошибками) параметров и поддержки большой библиотеки сценариев. Нагрузка на ИТ-специалистов растет, они не успевают внедрять новые возможности для реализации растущих потребностей бизнеса. NSX полностью устраняет аппаратные препятствия для автоматизации сетевых процессов. Благодаря переносу сетевых компонентов и служб безопасности на уровень виртуализации центра обработки данных NSX автоматизирует функционирование сети по тем же принципам, что и работу отдельной виртуальной машины. С помощью VMware vRealize Automation, OpenStack и других средств NSX может автоматизировать процессы, существенно ускоряя обслуживание и сокращая время инициализации с нескольких месяцев до нескольких минут. Это положительно влияет на бизнес: радикально снижаются сложность эксплуатации и сопутствующие расходы, улучшаются возможности управления, обеспечения целостности и соответствия нормативным требованиям.

 

 

 

Непрерывная работа приложений

 

Главная задача ИТ-отдела — обеспечение непрерывной работы приложений; для ее решения используются средства аварийного восстановления и объединения ресурсов ЦОД в пулы. Однако сложная и негибкая сетевая инфраструктура часто затрудняет быстрое перемещение рабочих нагрузок между ЦОД и объединение в пулы ресурсов территориально распределенных ЦОД. Для беспрепятственного переноса рабочих нагрузок между доменами в них должны быть соответствующим образом настроены сетевые компоненты и системы безопасности. Поскольку реплицировать аппаратные сети в различных доменах сложно, на выполнение критически важных задач, например аварийного восстановления, уходит много сил и времени. NSX дает организациям возможность перемещать между ЦОД не только виртуальные машины, но и связанные с ними сети и наборы правил безопасности. В виртуализированной сетевой инфраструктуре можно за несколько минут переносить выполняемые приложения между виртуальными машинами, даже расположенными на разных континентах. В результате появляется возможность использовать ЦОД с топологией «активный-активный» и моментально выполнять аварийное восстановление. С точки зрения бизнеса, это означает максимально длительную бесперебойную работу приложений, существенное сокращение расходов, доступность облачных служб и отсутствие внеплановых отключений.

 

Знакомство с VMware NSX


В этом разделе описываются удобные возможности развертывания NSX и способы использования веб-клиента vSphere для администрирования и мониторинга NSX.

Сначала изучим системную архитектуру NSX.

 

Платформа виртуализации сети NSX состоит из различных компонентов, таких как NSX vSwitch (виртуальный коммутатор NSX), который является частью гипервизора и точкой терминирования сети наложения, и контроллер, который программирует разные компоненты и является плоскостью контроля, предоставляющей доступ из NSX Manager с помощью API-интерфейсов. Контроллер даже может предоставлять расширения для сторонних партнеров.


 

Удобство развертывания

 

 

 

Открытие Chrome

 

1. Нажмите значок Chrome на панели быстрого запуска Windows.

 

 

Переход на главную страницу веб-клиента vSphere

 

После входа в систему откроется главная страница веб-клиента vSphere.

Вы можете свернуть или развернуть области Recent Tasks («Недавние задачи»), Alarms («Оповещения») и Work In Progress («В процессе»), нажав значок скрепки.

 

 

Переход в раздел Networking & Security («Сеть и безопасность») в веб-клиенте

 

Нажмите значок главной страницы в верхней части экрана, выберите Home («Главная») и нажмите Networking & Security («Сеть и безопасность»).

 

 

Просмотр развернутых компонентов

 

1. Нажмите элемент Installation («Установка»).

Вы заметите, что компонент NSX Manager установлен. NSX Manager управляет всеми компонентами NSX и предоставляет централизованную плоскость контроля в ЦОД, а также пользовательский интерфейс и API-интерфейсы управления для NSX. NSX Manager устанавливается как виртуальное устройство и интегрируется с веб-клиентом vSphere, благодаря чему его можно использовать в рамках веб-платформы управления.

Помимо предоставления API-интерфейсов и пользовательского интерфейса управления для администраторов, NSX Manager устанавливает различные пакеты VIB на узлах при их подготовке. Это пакеты VIB для VXLAN, распределенной маршрутизации, распределенного брандмауэра и агента пользователя.

Преимущество решения VMware состоит в том, что доступ к ядру получить намного удобнее. Благодаря этому возможности распределенного брандмауэра и распределенной маршрутизации VMware реализованы в ядре. Это обеспечивает обработку процессов в ядре без недостатков традиционной пользовательской среды или сетевой архитектуры физического брандмауэра.

Кроме того, существуют узлы контроллеров NSX, которые поддерживают возможности VXLAN и распределенной маршрутизации.

 

 

Подготовка узлов

 

1. На странице Installation («Установка») нажмите Host Preparation («Подготовка узлов»).

2. На странице Clusters & Hosts («Кластеры и узлы») нажмите кластеры RegionA01-COMP01 и RegionA01-MGMT01, чтобы развернуть их.

Здесь можно увидеть, что компоненты плоскости данных, в том числе распределенный брандмауэр, VXLAN и распределенная маршрутизация, установлены и включены на всех узлах vSphere.

 

Сценарий использования: распределенный брандмауэр NSX


В этом разделе рассматривается процесс развертывания распределенного брандмауэра NSX для защиты трехуровневого веб-приложения.

Как было сказано ранее, традиционные аппаратные решения реализуют строгие меры безопасности по периметру центра обработки данных, тогда как внутри он остается незащищенным. NSX, напротив, обеспечивает фундаментальную защиту ЦОД, интегрируя виртуализированные средства безопасности и распределенные брандмауэры непосредственно в его инфраструктуру.

Такие возможности называют распределенным брандмауэром NSX. Распределенный брандмауэр — это брандмауэр, встроенный в ядро гипервизора, который обеспечивает визуализацию и управление виртуализированными рабочими нагрузками и сетями. Можно создавать наборы правил для контроля доступа на основе объектов VMware vCenter, таких как ЦОД, кластеры и имена виртуальных машин, сетевых компонентов, таких как IP-адреса и наборы IP-адресов, виртуальные локальные сети (группы портов DVS), сети VXLAN (логические коммутаторы), группы безопасности, а также на основе групп пользователей Active Directory. Правила брандмауэра используются на уровне виртуального сетевого адаптера каждой виртуальной машины. Это обеспечивает постоянный контроль доступа даже при переносе виртуальной машины с помощью vMotion. Встроенный в гипервизор брандмауэр обеспечивает пропускную способность, близкую пропускной способности канала, что помогает получить более высокую консолидацию рабочих нагрузок на физических серверах. Распределенный брандмауэр имеет горизонтально масштабируемую архитектуру, которая автоматически расширяет пропускную способность брандмауэра при добавлении узлов в ЦОД.

Микросегментация основана на распределенном брандмауэре NSX. Он работает на уровне ядра гипервизора ESXi и обрабатывает пакеты на скорости, близкой к скорости канала. У каждой ВМ есть собственные правила брандмауэра и контекст. Возможность переноса рабочих нагрузок (vMotion) полностью поддерживается распределенным брандмауэром, при этом во время переноса активные подключения сохраняются. Эти расширенные возможности делают сеть ЦОД более защищенной благодаря изоляции каждой связанной группы ВМ в отдельном логическом сегменте сети. При этом администратор может контролировать трафик, передающийся из одного сегмента ЦОД в другой (горизонтальный трафик). Это ограничивает возможность горизонтального перемещения злоумышленника в ЦОД.


 

Защита трехуровневого веб-приложения с помощью NSX

 

Далее мы используем несложное трехуровневое веб-приложение, чтобы показать, как использовать распределенный брандмауэр NSX для управления взаимодействием различных ВМ. Все три ВМ выполняются в одной «производственной» виртуальной локальной сети, при этом должны быть разрешены следующие операции взаимодействия:

 

 

 

Тестирование трехуровневого приложения

 

Откройте трехуровневое веб-приложение в браузере Chrome.

1. Нажмите значок Chrome на панели быстрого запуска Windows.

 

Нажмите закладку 3-Tier App в браузере, чтобы открыть трехуровневое веб-приложение в новой вкладке браузера.

 

Загрузится приложение Customer Database Access Application. Чтобы протестировать приложение, введите в поле Name Filter («Фильтр имени») текст «Virtucon» и нажмите кнопку Apply («Применить»).

Приложение отправит запрос к базе данных и покажет только строку с именем Virtucon.

 

 

Открытие веб-клиента vSphere в том же сеансе Google Chrome

 

В том же браузере Chrome откройте новую вкладку и выполните вход в vCenter.

Для входа введите имя пользователя «administrator@vsphere.local» и пароль «VMware1!».

 

 

Тестирование трехуровневого подключения между ВМ с помощью Putty

 

Нажмите ярлык PuTTY на панели задач.

 

  1. Выберите пункт web-01a.corp.local
  2. Нажмите кнопку Load («Загрузить»).
  3. Нажмите кнопку Open («Открыть»).

 

 

Проверка связи web-01a с другими компонентами трехуровневого приложения с помощью команды ping

 

Сначала проверим, что web-01a может связаться с app-01a с помощью следующей команды:

ping -c 2 app-01a

Теперь проверим связь между web-01a и db-01a:

ping -c 2 db-01a

(Примечание. В конце строки команды ping может отображаться текст «DUP!». Это связано с характером виртуальной среды практического занятия, в виртуальных маршрутизаторах которой используются вложенная виртуализация и смешанный режим. В производственной среде этот текст не появляется.)

Не закрывайте окно. Сверните его, оно понадобится в дальнейшем.

 

 

Изменение набора правил брандмауэра по умолчанию с разрешения на блокировку

В этом разделе мы изменим разрешающее правило по умолчанию на блокирующее и покажем, что связь с трехуровневым приложением нарушена. Затем мы создадим новые правила доступа, чтобы возобновить подключение безопасным способом.

 

 

 

Просмотр правил по умолчанию

 

  1. Разверните раздел с помощью стрелки раскрывающегося списка

Обратите внимание на то, что рядом с правилами отображаются зеленые флажки. Это значит, что правила включены. Правила создаются стандартным образом с использованием полей источника, назначения и службы. Службы — это сочетание протоколов и портов.  

Последнее правило по умолчанию разрешает все операции взаимодействия.

 

 

Просмотр последнего правила по умолчанию

 

Прокрутите вправо и просмотрите доступные действия для правила по умолчанию, наведя курсор на поле Action: Allow («Действие: разрешить»). После этого появится значок карандаша для просмотра вариантов значений этого поля.

 

 

Изменение действия последнего правила по умолчанию с разрешения на блокировку

 

  1. Выберите действие Block («Блокировать»).
  2. Нажмите кнопку Save («Сохранить»). 

 

 

Публикация изменений правила по умолчанию

 

Появится зеленая панель с запросом на выбор одного из трех вариантов: Publish Changes («Опубликовать изменения»), Revert Changes («Отменить изменения») или Save Changes («Сохранить изменения»). Команда Publish Changes («Опубликовать изменения») публикует изменения в распределенном коммутаторе. Команда Revert Changes («Отменить изменения») отменяет внесенные изменения. Save Changes («Сохранить изменения») сохраняет изменения для публикации в дальнейшем.

 

 

Проверка блокировки взаимодействия после изменения правила

 

Проверка правила блокировки в предыдущих сеансах Putty и браузера

 

 

Проверка блокировки протокола HTTPS правилом с помощью браузера

 

  1. Откройте вкладку трехуровневого приложения в браузере. Если вкладка была закрыта по ошибке, откройте браузер Chrome и попробуйте открыть трехуровневое приложение, нажав закладку или обновив веб-страницу.
  2. Появится сообщение об ошибке доступа к этому сайту. Так и должно произойти из-за правил брандмауэра, созданных в NSX.

 

 

Создание правил доступа к трехуровневому приложению с помощью распределенного брандмауэра NSX

Убедитесь, что вы по-прежнему подключены к веб-клиенту vSphere, перейдя на вкладку веб-клиента. Если подключение прервано, снова откройте Google Chrome и выполните вход в веб-клиент vSphere.

 

В веб-клиенте vSphere откройте страницу Network & Security («Сеть и безопасность») и перейдите в раздел Firewall > Configuration («Брандмауэр > Настройка»).

 

 

Создание нового раздела брандмауэра

 

  1. Справа в конце строки Default Section Layer3 (Rule 1 - 3) («Раздел по умолчанию, уровень 3 (правило 1–3)») нажмите значок добавления раздела в виде папки.

 

 

Добавление нового раздела правил для трехуровневого приложения

 

  1. В качестве имени раздела введите 3-tier App.
  2. Выберите параметр Add section above («Добавить раздел выше»).
  3. Нажмите кнопку Save («Сохранить»).

 

 

Добавление правила в новый раздел

 

  1. В строке нового раздела «3-tier App» нажмите значок добавления правила (зеленый знак «плюс»).

 

 

Изменение имени правила

 

  1. Нажмите стрелку раскрывающегося списка, чтобы открыть правило.
  2. Наведите курсор на верхний правый угол поля Name («Имя»), чтобы появился значок карандаша, затем нажмите его.

 

 

Изменение имени правила (продолжение)

 

  1. Введите Ext to Web в качестве имени.
  2. Нажмите кнопку Save («Сохранить»).

 

 

Выбор источника и назначения правила

 

Source («Источник»): выберите любой источник правила.

  1. Наведите курсор мыши на поле Destination («Назначение») и нажмите значок карандаша.

 

 

Выбор назначения

 

Назначение:

  1. Разверните список Object Type («Тип объекта») и прокрутите вниз до пункта Virtual Machine («Виртуальная машина»).
  2. Нажмите пункт web-01a.
  3. Нажмите верхнюю стрелку, чтобы переместить объект вправо.
  4. Нажмите кнопку OK.

 

 

Изменение службы

 

  1. Снова наведите курсор мыши на поле Service («Служба») и нажмите значок карандаша.

 

 

Выбор службы правила

 

В поле поиска можно выполнить поиск службы по шаблону.

  1. Введите «https» и нажмите клавишу ВВОД для просмотра всех служб, связанных с HTTPS.
  2. Выберите службу HTTPS.
  3. Нажмите верхнюю стрелку.
  4. Примечание. Повторите шаги 1–3, чтобы найти и добавить службу SSH.  (Она понадобится позднее в этом модуле.)
  5. Нажмите кнопку OK.

Примечание. Появится зеленая панель с параметрами для публикации или отмены изменений.

НЕ публикуйте изменения, так как требуется создать еще часть правил.

 

 

Создание правила для разрешения связи Web-01a с App-01a

 

Теперь мы добавим второе правило, чтобы разрешить виртуальной машине Web-01a связь с App-01a. Веб-приложение должно взаимодействовать только с сервером приложений, но не с сервером баз данных.

  1. Нажмите значок карандаша рядом с созданным правилом 1.
  2. Это правило должно обрабатываться после предыдущего, поэтому выберите пункт Add Below («Добавить ниже») в раскрывающемся списке.

 

 

Создание полей имени и источника второго правила

 

  1. Как и ранее, наведите курсор мыши на поле Name («Имя») и нажмите знак «плюс». Введите Web to App в качестве имени.
  2. Наведите курсор мыши на поле Source («Источник») и нажмите значок карандаша.

 

 

Настройка поля источника

 

  1. Разверните список Object Type («Тип объекта») и прокрутите вниз до пункта Virtual Machine («Виртуальная машина»).
  2. Нажмите пункт web-01a.
  3. Нажмите верхнюю стрелку, чтобы переместить объект вправо.
  4. Нажмите кнопку OK.

 

 

Создание назначения второго правила

 

  1. Наведите курсор мыши на поле Destination («Назначение»).
  2. Нажмите значок карандаша для редактирования поля.

 

 

Создание поля назначения второго правила: выбор виртуальной машины App-01a

 

  1. Прокрутите список Object Type («Тип объекта») вниз и нажмите пункт Virtual Machine («Виртуальная машина»).
  2. Выберите пункт app-01a.
  3. Нажмите верхнюю стрелку, чтобы переместить объект вправо.
  4. Нажмите кнопку OK.

 

 

Создание службы второго правила

 

  1. Наведите курсор мыши на поле Service («Служба») и нажмите значок карандаша для редактирования.

 

 

Создание поля службы второго правила: новая служба

 

Трехуровневое приложение использует TCP-порт 8443 для взаимодействия веб-уровня и уровня приложений. Мы создадим новую службу MyApp в качестве разрешенной службы.

  1. Нажмите New Service («Создать службу»).
  2. Введите MyApp в качестве имени новой службы.
  3. Выберите TCP в качестве протокола.
  4. Введите 8443 в качестве номера порта.
  5. Дважды нажмите кнопку OK на странице Specify Service («Выбор службы»).

 

 

Создание третьего правила: разрешение связи App-01a с Db-01a

 

Повторение действий: самостоятельно создайте третье и последнее правило под последним правилом, чтобы разрешить взаимодействие App-01a и Db-01a.

  1. Создайте последнее правило, которое разрешает виртуальной машине приложения взаимодействовать с виртуальной машиной базы данных с помощью предварительно заданной службы для протокола HTTP.  Служба задана заранее, поэтому вам потребуется найти ее, а не создавать.

Новое правило должно выглядеть так, как показано в примере.

  1. Опубликуйте изменения.

 

 

Проверка работы нового правила, разрешающего связь 3-уровневого приложения

 

  1. Вернитесь на вкладку, которую вы ранее использовали для трехуровневого приложения.
  2. Обновите браузер, чтобы убедиться, что трехуровневое приложение передает данные.

Новый раздел «3-tier App» разрешает доступ к приложению.

 

 

Откройте сеанс Putty для web-01a, чтобы проверить связь между ВМ.

 

Если вы закрыли предыдущий сеанс Putty, снова откройте его на панели быстрого запуска Windows.

  1. Выберите виртуальную машину web-01a.corp.local.
  2. Нажмите кнопку Load («Загрузить»).
  3. Нажмите кнопку Open («Открыть»).

 

 

Проверка связи между виртуальными машинами с помощью команды ping

Попробуйте проверить связь с гостевыми ВМ трехуровневого приложения с помощью команды ping.

ping -c 2 app-01a

ping -c 2 db-01a

Команда ping не разрешена и будет выполнена с ошибкой, так как протокол ICMP между уровнями или членами уровня запрещен правилами. Если не разрешить протокол ICMP между уровнями, правило по умолчанию будет блокировать весь остальной трафик. Разрешен только трафик, необходимый приложению для работы.

 

 

Выход из системы

Закройте Putty, выберите «Administrator@CORP.LOCAL» в правой верхней части экрана и нажмите Logout («Выход»).

 

Закройте браузер.

 

Интеллектуальное управление NSX с помощью vROps


В этом разделе вы изучите панели мониторинга vRealize Operations Manager, которые используются для отслеживания работы среды NSX.

С помощью vROps можно реализовать интеллектуальное управление средой NSX, используя возможности анализа, сопоставления, прогнозирования ресурсов и визуализации для виртуальных сетей. Это решение помогает проверить конфигурацию, работоспособность, производительность, емкость и устранить неполадки логических коммутаторов и маршрутизаторов, пограничных служб, распределенного брандмауэра и средств балансировки нагрузки NSX. Группа эксплуатации NSX может выявить проблемы с конфигурацией, устранить неполадки с подключением, просмотреть последствия любого проблемного состояния vSphere или детально изучить данные о множестве объектов NSX для углубленного поиска и устранения неисправностей.

Новые возможности:


 

Вход в vRealize Operations Manager

 

 

Просмотр панелей мониторинга NSX

 

На экране Dashboard («Панель мониторинга») представлены все готовые и пользовательские панели мониторинга, созданные для среды. На этом практическом занятии описываются встроенные панели мониторинга NSX.

  1. Чтобы открыть страницу панелей мониторинга, нажмите Dashboards («Панели мониторинга») в верхней строке меню.
  2. В левой области появится список всех панелей мониторинга для NSX.
  3. Если некоторые панели мониторинга NSX отсутствуют, их можно включить, выбрав каждую из них в разделе All Dashboards («Все панели мониторинга»).
  4. Далее выберите пункт NSX-vSphere Main («NSX-vSphere: главная»).

 

 

Панели мониторинга: NSX-vSphere Main («NSX-vSphere: главная»)

 

1. Выберите пункт nsxmgr-01a в разделе NSX-vSphere Environments («Среды NSX-vSphere»).

Появится обзор работоспособности сетевых объектов (сведения о сетевом трафике и открытых оповещениях, связанных с NSX). Можно отслеживать основные компоненты, такие как общая работоспособность NSX Manager и контроллеров, схема проблемных участков каждого транспортного узла, зарегистрированного в NSX, самые активные логические сети по трафику и ВМ.

Прежде чем продолжить, ознакомьтесь с панелями мониторинга.

 

 

 

Открытие панели мониторинга NSX-vSphere Topology («NSX-vSphere: топология»)

 

1. Нажмите раскрывающееся меню All Dashboards («Все панели мониторинга»).

2. Перейдите в раздел NSX-vSphere.

3. Откройте панель мониторинга NSX-vSphere Topology («NSX-vSphere: топология»).

 

 

Знакомство с панелью мониторинга NSX-vSphere Topology («NSX-vSphere: топология»)

 

На панели мониторинга NSX-vSphere Topology («NSX-vSphere: топология») представлены сведения о топологии выбранного объекта, способе подключения к логическим элементам сети, а также связанные с ними оповещения и показатели. Если открыть панель мониторинга NSX-vSphere Topology («NSX-vSphere: топология») непосредственно в строке меню, в виджетах Logical Topology («Логическая топология») и Physical Topology («Физическая топология») данные отображаться не будут. Чтобы показать данные в этих виджетах, нажмите требуемый объект в виджете Objects («Объекты»). Объект также можно найти в поле поиска в правой части виджета.

Ознакомьтесь с этой панелью мониторинга и, если позволяет время, изучите две другие панели мониторинга: NSX-vSphere Object Path («NSX-vSphere: путь объекта») и NSX-vSphere Troubleshooting («NSX-vSphere: устранение неполадок»).

 

 

Выход из vROps

 

Выйдите из vROps.

 

Заключение


В этом модуле вы изучили решение VMware NSX. Мы обсудили требования к включению NSX, способы администрирования решения с помощью веб-клиента vSphere и методы развертывания безопасного брандмауэра с помощью распределенного брандмауэра NSX. В этом модуле также было показано, как использовать vROps для мониторинга развертывания NSX.


 

Модуль 4 завершен

Поздравляем! Вы изучили модуль 4.

Для получения дополнительных сведений о VMware NSX примите участие в следующих практических занятиях:

Перейдите к одному из модулей ниже, соответствующему вашим интересам.

 

 

Завершение практического занятия

 

Чтобы завершить практическое занятие, нажмите кнопку END («ЗАВЕРШИТЬ»).  

 

Заключение

Спасибо за участие в практических занятиях VMware! Полный каталог можно найти по ссылке: http://hol.vmware.com/

Код занятия (SKU): HOL-1845-01-SLN

Версия: 20180731-162246