VMware 动手练习 - HOL-1911-01-SDC


vSphere 6.7 的新功能特性 - HOL-1911-SDC

实验指导


注意:本实验总时长可能会超过 90 分钟。您无需在此期间完成每个单元的学习;这些单元彼此独立。您可以使用目录访问所选择的任何单元。

目录可以从实验手册的右上角访问。

本实验将详细介绍 vSphere 6.7 的新功能特性。完成本实验后,您将能够确定自己的业务是否会受益于 vSphere 6.7 增强功能。由于功能特性本身的特质,部分功能将通过视频介绍。还有一些动手操作。针对本实验中讨论的四大项,将另有专门的实验为您提供更加深入的实际操作经验。

欢迎浏览查阅!本实验包含两个 vCenter Server,让您能够体验到增强型链接模式。 

实验单元列表:

实验负责人:

  • 第 1 - 5 单元 - Julie Roman,客户技术经理,美国

内容负责人:

  • 第 1 单元 - Himanshu Singh,产品线市场推广高级经理,美国
  • 第 2 单元 - Emad Younis 和 Eric Gray,技术市场推广,美国
  • 第 3 单元 - Mike Foley,技术市场推广,美国
  • 第 4 单元 - Sudhir Balasubramanian、Vas Mitra、Duncan Epping
  • 第 5 单元 - 混合云团队


本实验手册可以从动手实验文档站点下载,网址为:

PDF - http://docs.hol.vmware.com/HOL-2019/hol-1911-01-sdc_pdf_en.pdf

HTML - http://docs.hol.vmware.com/HOL-2019/hol-1911-01-sdc_html_en/

本实验可能提供其他语言版本。要设置语言首选项并在实验中部署本地化手册,可以在以下文档的帮助指导下完成:

http://docs.hol.vmware.com/announcements/nee-default-language.pdf


 

主控制台的位置

 

  1. 红框区域包含主控制台。实验手册位于主控制台右侧的选项卡上。
  2. 个别实验可能会用到左上角独立选项卡上的其他控制台。如有需要,系统将引导您打开其他的特定控制台。
  3. 实验时间为 90 分钟,由计时器计时。实验结果无法保存。所有操作都必须在实验课程中完成。但是您可以单击“EXTEND”(延长)延长时间。在 VMware 活动期间,您可以将实验时间延长两次,最多可延长 30 分钟。每单击一次可延长 15 分钟。非 VMware 活动期间,最多可将实验时间延长至 9 小时 30 分钟。每单击一次可延长一小时。

 

 

键盘数据输入的替代方法

在本单元中,您将向主控制台中输入文本。除直接输入外,还有两种非常有用的数据输入方法,可简化输入复杂数据的过程。

 

 

单击实验手册内容并拖放到控制台的活动窗口

 
 

您也可以单击实验手册中的文本和命令行界面 (CLI) 命令,并将其直接拖放到主控制台中的活动窗口。 

 

 

访问在线国际键盘

 

您还可以使用主控制台中的在线国际键盘。

  1. 单击 Windows 快速启动任务栏上的键盘图标。

 

 

在活动的控制台窗口中单击一下

 

在本例中,您将使用在线键盘输入电子邮件地址中所使用的“@”符号。在美式键盘布局中,输入“@”符号需要按住 Shift 并按 2。

  1. 在活动的控制台窗口中单击一下。
  2. 单击 Shift 键。

 

 

单击 @ 键

 

  1. 单击 @ 键。

您会发现,“@”符号已在活动控制台窗口中输入。

 

 

激活提示或水印

 

首次启动实验时,您可能会注意到桌面上有一个水印,提示 Windows 尚未激活。 

虚拟化的一个主要优势在于,可以在任意平台上移动和运行虚拟机。本动手实验利用了这一优势,我们可以运行多个数据中心内的实验。但是,这些数据中心的处理器可能不同,这就需要通过 Internet 进行 Microsoft 激活检查。

请放心,VMware 和这些动手实验完全符合 Microsoft 的许可要求。您使用的实验是一个独立的单元,不具备对 Internet 的完全访问权限,而 Windows 需要该权限才能验证激活。如果没有对 Internet 的完全访问权限,此自动化过程会失败,并且显示此水印。

这一外观问题不会影响您的实验。 

 

 

查看屏幕右下部分

 

请检查是否完成实验的所有启动例程,以及是否准备好开始。如果您看到“Ready”(准备就绪)以外的内容,请等待几分钟。如果 5 分钟后,您的实验仍未变为“Ready”(准备就绪),请寻求帮助。

 

第 1 单元 - vSphere 6.7 概述(15 分钟)

简介


下面这些显著的发展趋势对 IT 组织的 IT 基础架构提出了新的需求,而 vSphere 6.7 提供的主要功能可以帮助解决这些问题:

本单元将概括介绍 vSphere 6.7 的新功能特性。在之后的单元和其他实验中,您可以深入了解这项技术。此简介单元仅介绍基础知识。我们将在之后的单元中开始使用实验。

 


 

主要功能特性

简单高效的规模化管理

全面的内置安全性

 通用应用平台

 顺畅的混合云体验

 

 

简单高效的规模化管理


vSphere 6.7 基于 vSphere 6.5 实现的技术创新构建,将客户体验提升到一个全新的水平。它可大规模提供卓越的管理简便性、运维效率以及更短的销售就绪时间。


 

vCenter Server Appliance

vSphere 6.7 借助增强的 vCenter Server Appliance (vCSA) 为用户带来非凡体验。它引入了一些新的 API,无论是在部署 vCenter、基于模板部署多个 vCenter、大幅简化 vCenter Server Appliance 的管理,还是备份和还原,都提高了效率并改进了体验。它还通过配有采用增强型链接模式的嵌入式 Platform Services Controller 的 vCenter,大大简化了 vCenter Server 拓扑,使客户能够链接多个 vCenter,跨环境实现顺畅的可见性,无需使用外部 Platform Services Controller 或负载均衡器。

vSphere 6.7 vCSA 的性能得到显著提升(所有指标均在集群规模限制下比较,比较对象为 vSphere 6.5):

这些性能改进可确保为 vSphere 用户带来超快体验,还能在各种使用情形中(例如 VDI、横向扩展应用、大数据、HPC、DevOps、分布式云原生应用等)实现重要价值、节省时间和成本。

 

 

 

vSphere - 快速启动

vSphere 6.7 可在更新 ESXi 主机时大规模提高效率,通过消除主要版本升级时通常所需的两次重新引导中的一次(单次重新引导),大大缩短了维护时间。除此以外,vSphere 快速启动还是一项新的创新,能够在不重新启动物理主机的情况下重新启动 ESXi Hypervisor,从而跳过耗时的硬件初始化环节。这样可加快升级和修补的速度。

 

 

 

HTML 5 vSphere Client

使 vSphere 6.7 能够提供简单、高效体验的另一个关键组件就是图形用户界面本身。基于 HTML5 的 vSphere Client 可提供现代化的用户界面体验,它兼具响应迅速和易于使用的特点。对于 vSphere 6.7,它包含的新增功能不仅支持典型的工作流客户需求,还支持管理 NSX、vSAN、VUM 以及第三方组件等其他主要功能。

 

 

支持 4K 原生存储

存储供应商正朝着经济高效的 4K 原生 (4Kn) 驱动器发展。迁移到 4K 大小的扇区将以更短的路径,实现更高的密度和更多的硬盘容量,以及更为强大的纠错能力。硬盘供应商通过在固件中使用模拟(又称为 512e)来制造 4K 扇区驱动器,降低格式更改对主机客户端的影响。他们引入了 512e 驱动器以实现向 4Kn 驱动器的过渡,预计在未来几年 4Kn 将得到普及。VMware 紧随其后,一直致力于在 vSphere 中启用 4Kn 驱动器,确保利用上最新的技术。

与 512 字节扇区大小的驱动器相比,4Kn 驱动器具有多种优势。数据在驱动器中的放置方式更为优化,从而增加了容量并提升了性能。经过优化的元数据使可用数据的数量最多增加 10%,提高了空间利用的效率。通过将 ECC 块从 50 字节提高到 100 字节,增加了元数据的大小,从而提高了驱动器的可靠性和纠错能力。在纠错效率方面实现了至关重要的改进。

现在,vSphere 6.7 版原生支持通过 4Kn Software Emulation (SWE) 连接 4Kn 驱动器。这个软件模拟层允许使用 4Kn 驱动器,同时仍然支持旧版操作系统、应用和现有虚拟机在更高版本的 4Kn 驱动器上运行。

4Kn 驱动器存在一些限制:仅支持本地 SAS、SATA 硬盘,它们必须使用 VMFS6,从 4Kn 驱动器启动需要 UEFI。此外,不支持用于客户操作系统 (GOS) 的 4Kn SSD、NVMe 和裸设备映射 (RDM) 磁盘。如果 vSAN 和 VVOL 可以处理 512 字节和 4K I/O 而不会产生任何原子性问题,就可以将自身声明为 512e。不支持第三方多路径插件。

 

全面的内置安全性


vSphere 6.7 以 vSphere 6.5 中的安全功能为基础构建,还利用了其作为 Hypervisor 的独特地位来提供全面的安全保护:从内核开始,通过一个操作简单的策略驱动模型实现。


 

与可信平台模块集成

可信平台模块 (TPM) 是一种计算机芯片/微控制器,可安全地存储用于对平台(PC 或笔记本电脑)进行身份验证的构件。这些构件可包括衡量指标、密码、证书或加密密钥。TPM 还可用于以数字化方式对内容进行签名并存储平台衡量值,帮助确保平台的可信度。可信计算组织详细介绍了 TPM 的概念及其功能。

由于 ESXi 5.x、ESXi 已具有对 TPM 1.2 的支持,因此在 6.7 之前,TPM 1.2 的 API 和功能均限制在 VMware 合作伙伴创建的第三方应用。

在 6.7 中,我们引入了对 TPM 2.0 的支持。TPM 2.0 和 TPM 1.2 是两种完全不同的实施方法,并且不具备向后兼容性。总而言之,对于 ESXi 来说,它们是两个不同的设备。

如果您在带有 TPM 2.0 的服务器上运行 6.5,将不会看到 TPM 2.0 设备,这是因为 6.5 不支持 TPM 2.0。6.7 中的新功能特性则不使用 TPM 1.2 设备。

概括来说,TPM 2.0 用于存储已知的、通过良好方式启动的 ESXi 的衡量值。然后,vCenter 会将该值与 ESXi 报告的值加以比较。

换句话说,TPM 提供了一种机制,确保 ESXi 在已启用“安全启动”的条件下启动。通过确定已启用“安全启动”,我们可以确保 ESXi 仅使用经过数字化签名的代码进行启动。

这个绝佳的示例说明了我们为实现安全性所使用的迭代方式。在 6.5 中,我们提供了“安全启动”支持。在 6.7 中,我们以此为基础,通过提供 TPM 2.0 来确保“安全启动”功能启用。

 

 

基于虚拟化的安全性

vSphere 6.7 引入了对 Microsoft 各类基于虚拟化的安全性技术的支持。这归功于 VMware 与 Microsoft 之间的密切合作,在确保 vSphere 上的 Windows 虚拟机支持客户机内的安全性功能的同时,继续在 vSphere 平台上以较高性能安全地运行。

vSphere 6.7 提供了全面的内置安全性,是安全 SDDC 的核心。它与 vSAN、NSX 和 vRealize Suite 等其他 VMware 产品深入集成并无缝协作,为数据中心提供完整的安全模式。

 

 

数据加密

数据加密功能随 vSphere 6.5 一起推出,大受欢迎。在 vSphere 6.7 中,虚拟机加密功能得以进一步增强,在操作上也更易于管理。vSphere 6.7 简化了虚拟机加密(旨在保护静态数据和动态数据)的工作流,只需右键单击一下即可执行,此外,还提高了虚拟机加密的安全性,在保护数据免受未经授权的访问方面,用户也有了更大的控制权。通过实现不同 vCenter 实例和不同 vCenter 版本之间的加密 vMotion,vSphere 6.7 还增强了对动态数据的保护,因此能够轻松、安全地进行数据中心迁移,跨混合云环境(本地部署和公有云之间)或处于不同地理位置的数据中心移动数据。

 

通用应用平台


vSphere 6.7 是一款通用应用平台,既支持新工作负载(包括 3D 图形、大数据、HPC、机器学习、常驻内存和云原生),也支持现有的关键任务应用。它还支持业内最新的一些硬件创新,并可借助这些创新为各种工作负载提供卓越的性能。


 

Nvidia GRID™ vGPU 的增强功能

通过为非 VDI 和非通用计算使用情形(例如人工智能、机器学习、大数据等)虚拟化 Nvidia GPU,vSphere 6.7 借助 VMware 与 Nvidia 的协作,进一步增强了为 GPU 引入的支持和功能。借助 vSphere 6.7 中的 Nvidia GRID vGPU 技术增强,客户无需关闭 GPU 上运行的工作负载,只需挂起和恢复这些虚拟机,即可加强底层主机的生命周期管理并大大减少给终端用户造成的中断。VMware 不断在这一领域注入投资,目的是将来为 GPU 带来全面的 vSphere 体验。

 

 

vSphere 持久内存 (PMEM)

vSphere 6.7 再一次彰显了 VMware 的技术领导地位以及与关键合作伙伴之间丰硕的合作成果,具体表现在:增加对关键行业创新的支持,这一创新将对行业格局产生巨大的影响,它便是持久内存。借助 vSphere 持久内存,客户在使用受支持的硬件模块(例如 Dell-EMC 和 HPE 提供的模块)时,可以将其用作具有高 IOPS 的超快速存储,或将其作为非易失性内存公开给客户操作系统。这可以显著增强各种使用情形中操作系统和应用的性能,提高现有应用的速度和性能,让客户能够创建可利用 vSphere 持久内存的高性能新应用。

 

 

 

即时克隆

您可以利用即时克隆技术,通过另一台已启动虚拟机的运行状态创建处于启动状态的虚拟机。实施即时克隆操作后,即可创建一台与源虚拟机完全相同的新虚拟机。利用即时克隆功能,您可以在受控的时间点创建新的虚拟机。对大规模应用部署来说,即时克隆非常方便,因为它能够确保内存效率,还支持在单个主机上创建大量虚拟机。


 

顺畅的混合云


借助 VMware Cloud 提供商计划合作伙伴、VMware Cloud on AWS 以及其他公有云提供商,基于 vSphere 的公有云得以快速应用,让 VMware 能够致力于为客户提供顺畅的混合云体验。


 

vCenter Server 混合链接模式

vSphere 6.7 引入了 vCenter Server 混合链接模式,让客户能够跨运行另一版本 vSphere 的本地 vSphere 环境轻松获得统一的可见性和可管理性,其所运行的 vSphere 版本不同于 VMware Cloud on AWS 等基于 vSphere 的公有云环境。这可确保基于 vSphere 的公有云当中的快速创新和新功能引入不会迫使客户不断更新和升级其本地部署的 vSphere 环境。

 

 

 

跨云冷热迁移

此外,vSphere 6.7 还引入了跨云冷热迁移,进一步提高了管理的简便性,并为客户实现了顺畅的无中断混合云体验。

当虚拟机在不同数据中心之间迁移,或在本地部署的数据中心和云环境之间来回迁移时,它们可能会跨不同的 CPU 类型进行迁移。vSphere 6.7 提供了一项对混合云很重要的新功能,称为虚拟机级 EVC。借助虚拟机级 Enhanced vMotion Compatibility (EVC),EVC 模式成为了虚拟机的一个属性,而不是有时在集群中启动的特定处理器代次。因此,可通过在跨集群迁移期间或在关机重启期间保留虚拟机级的 EVC 模式,实现跨不同 CPU 的顺畅迁移。

之前,vSphere 6.0 在 vCenter 实例之间引入了调配。这通常称为跨 vCenter 调配。使用两个 vCenter 实例可能会导致实例的版本不同。在 vSphere 6.7 中,客户能够在使用不同 vCenter 版本的同时,执行跨 vCenter 的混合版本调配操作(如 vMotion、完整克隆和冷迁移)以实现顺畅运行。对于在其混合云中使用 VMware Cloud on AWS 的客户,此功能尤为有用。

 

总结


VMware vSphere 6.7 是高效且安全的混合云平台。它为实现业务敏捷性奠定了强大、灵活、安全的基础,有助于加快向混合云发展的数字化转型进程并推动数字经济取得成功。vSphere 6.7 借助以下优势为现有的和新一代的工作负载提供支持:1) 通过简单高效的规模化管理,将客户体验提升到一个全新的水平;2) 通过一个操作简单的策略驱动模型,实现根植于核心的全面内置安全性;3) 它是一个通用应用平台,支持新型工作负载并利用硬件创新来增强性能;而且 4) 它提供顺畅的混合云体验,允许在本地数据中心和公有云之间轻松地查看、迁移和管理工作负载。利用 vSphere 6.7,现在可在常规操作环境下,跨混合云环境运行、管理、连接以及保护应用。


 

您已完成第 1 单元的学习!

 

祝贺您!您已经完成了第 1 单元的学习!

要了解有关新功能特性的更多信息,请点击以下链接:

继续学习以下您最感兴趣的任意单元。

 

 

 

如何结束实验

 

要结束实验,请单击“END”(结束)按钮。

 

第 2 单元 - 简单高效的规模化管理(60 分钟)

简介


vSphere 6.7 基于 vSphere 6.5 实现的技术创新构建,将客户体验提升到一个全新的水平。它可大规模提供卓越的管理简便性、运维效率以及更短的销售就绪时间。本单元包含以下课时:

  • 增强的 vCenter Server Appliance (VCSA)
  • 生命周期管理操作
  • 增强的链接模式

增强的 vCenter Server Appliance


在 vSphere 6.7 中,所有新功能特性和增强功能都是围绕 vCenter Server Appliance 开发的。这是 VMware vCenter 的最新版本,可提供 vCenter 的 Windows 安装。这款全新的设备具备更清晰的全新用户界面、增强的服务监控、基于文件的备份,并且更易于显示。


 

安装

vCenter Server Appliance 的一个重大改变就是简化了体系结构。回到在单个实例上运行所有 vCenter Server 服务的时代并获享所有优势。现在,借助 vCenter Server Appliance 6.7 就可以实现这一点。通过增强型链接模式引入具有嵌入式 PSC 的 vCenter Server。让我们来看看此部署模式带来的优势:

  • 无需负载均衡器即可实现高可用性,并且完全支持原生 vCenter Server High Availability。
  • SSO 站点边界的移除提供了放置灵活性。
  • 支持 vSphere 的最大规模。
  • 允许在 vSphere Single Sign-On 域中实施 15 次部署。
  • 减少了需要管理和维护的节点数量。

 

 

迁移

vSphere 6.7 还是最后一个包含 vCenter Server for Windows 的版本。客户可利用内置的迁移工具迁移到 vCenter Server Appliance。在 vSphere 6.7 中,我们现在可以选择在迁移期间导入历史数据和性能数据的方式:

  • 部署和导入所有数据
  • 在后台部署和导入数据

客户还能知道每个选项在迁移期间预计将花费的时间。具体的预计时间取决于环境中历史数据和性能数据的大小。在后台导入数据时,客户可选择暂停和恢复。vSphere 虚拟设备管理界面中提供此新功能。另一项针对迁移过程的改进是支持自定义端口。这样一来,更改默认 Windows vCenter Server 端口的客户将不会再被屏蔽。 

 
 

 

 

监控和管理

在 vCenter Server Appliance 的监控改进上,我们做了大量投资。改进工作自 vSphere 6.5 开始便已展开,到 vSphere 6.7 又增加了几项新的增强功能。我们首先从端口 5480 登录 vSphere 虚拟设备管理界面 (VAMI)。首先会注意到的是,VAMI 已收到 Clarity UI 的更新。我们还注意到,与 vSphere 6.5 相比,左侧新增了一些选项卡。现在,有一个选项卡专门用于监控功能。在这里,我们会看到 CPU、内存、网络和数据库利用率。监控选项卡中现在有一个新的部分,叫做“Disks”(磁盘)。客户现在可以查看 vCenter Server Appliance 的各个磁盘分区、可用空间和利用率。

 

监控选项卡中现在有一个新的部分,叫做“Disks”(磁盘)。客户现在可以查看 vCenter Server Appliance 的各个磁盘分区、可用空间和利用率。

 

 

 

嵌入式链接模式 (ELM)

vCenter 嵌入式链接模式是凭借嵌入式 Platform Services Controller 支持 vCenter Server Appliance 的增强型链接模式。此实验室是使用 vSphere 6.7 嵌入式链接模式配置的。借助 vCenter 嵌入式链接模式,您可以将 vCenter Server Appliance 与嵌入式 Platform Services Controller 连接在一起,形成一个域。Windows vCenter Server 安装不支持 vCenter 嵌入式链接模式。vCenter 嵌入式链接模式从 vSphere 6.5 Update 2 开始受到支持,适用于大多数部署。vCenter 嵌入式链接模式的其他功能包括:无外部 Platform Services Controller,提供了比增强型链接模式更简单的域体系结构。简化的备份和还原流程。简化的 HA 流程,无需负载均衡器。通过 vCenter 嵌入式链接模式,最多可将 15 个 vCenter Server Appliance 链接在一起,并在单个清单视图中显示。对于 vCenter High Availability (vCenter HA) 集群,三个节点被视为一个 vCenter Server 逻辑节点。这意味着是 vCenter 嵌入式链接模式中 vCenter HA 集群数量的十倍,共 30 个虚拟机。

 

 

基于文件的备份

基于文件的备份首先是在 vSphere 6.5 中引入的,位于“Summary”(摘要)选项卡下,现在,它有了自己的“Backup”(备份)选项卡。进入“Backup”(备份)选项卡后,位于中心位置、第一个可以使用的选项就是调度程序。现在,客户可以安排 vCenter Server Appliance 的备份,还可以选择要保留的备份数量。在基于文件的备份功能中,另一个新的部分是“Activities”(活动)。备份工作完成后,系统将把该工作的详细信息记录到活动部分中。说到备份时,一定会提及还原。还原工作流现在包含一个备份归档浏览器。该浏览器无需了解整个备份路径即可显示您的所有备份。

 

单击以观看有关安排备份的视频。

 
 

 

 

服务

另一个新的选项卡叫作“Services”(服务),同样位于 VAMI 内。该功能原来位于 vSphere Web Client 内,现在位于 VAMI 中,方便进行带外故障排除。构成 vCenter Server Appliance 的所有服务、其启动类型、运行状况和状态都显示在此处。我们还可根据需要选择启动、停止和重启服务。

尽管“Syslog”和“Update”(更新)选项卡不是 VAMI 的新增功能,但这些方面也有一些改进。Syslog 目前支持多达三个的 syslog 转发目标。以前,vSphere 6.5 仅支持转发到一个目标。现在,修补和更新功能的灵活性更高。我们现在可从“Update”(更新)选项卡中选择要应用的补丁程序或更新。客户还能看到更多信息,包括类型、严重性以及是否需要重新启动。在视图中展开补丁程序或更新将显示有关所包含内容的更多信息。最后,我们现在可以通过 VAMI 分段应用和安装补丁程序或更新。此功能以前只能通过 CLI 使用。

 

 

 

vSphere Client (HTML5)

这是我们在 vSphere Client 中进行了大量投资的另一项内容。在 vSphere 6.5 中,VMware 引入了 vSphere Client (HTML5) 的受支持版本。它包含在 vCenter Server Appliance 内,仅具备部分功能。vSphere 团队一直在努力让 vSphere Client 获得相当的功能。该团队根据客户反馈,不断优化和改进工作流。vSphere 6.7 的发布还标志着 vSphere Web Client (Flash) 的最终发布。更新版 vSphere Client 中的一些更新工作流包括:

 

上面所述的一些工作流功能尚不完善。VMware 将在未来的 vSphere 维护(补丁程序/更新)版本中不断更新 vSphere Client。我们即将达成这一目标!

此外,还减少了一个客户端,Platform Services Controller (PSC) UI (/psc) 功能现在是 vSphere Client 的一部分。PSC 选项分布在两个选项卡中,目前位于“Administration”(管理)菜单下。证书管理有自己的选项卡,所有其他管理选项都在“Configuration”(配置)选项卡下。

 

 

CLI 工具

vCenter Server Appliance 6.7 CLI 也有一些增强。第一处增强是使用 cmsso-util 重新指向。虽然不是一项新功能,但它在 vSphere 6.5 中未有提供,在 vSphere 6.7 中重新回归。我们所说的是将外部 vCenter Server Appliance 重新指向 vSphere SSO 域内的各个 SSO 站点。这并不是重新指向的唯一功能。

客户现在可以将 vCenter Server Appliance 重新指向各个 vSphere SSO 域。您能说这是整合吗?域重新指向功能仅支持运行 vSphere 6.7 的外部部署。内置的域重新指向功能具有预检查选项,我多次强调要使用该功能。预检查功能会对比两个 vSphere SSO 域,并在冲突 JSON 文件中列出两者的所有差异。您可借此机会先解决所有差异再运行域重新指向工具。重新指向工具可将许可证、标签、类别和权限从一个 vSphere SSO 域迁移至另一个。

 

 

 

CLI 工具(续)

另一项 CLI 增强功能是使用 cli 安装程序来管理 vCenter Server Appliance 生命周期。vCenter Server Appliance ISO 附带 JSON 模板示例。这些 JSON 模板可用于确保各次安装、升级和迁移之间的一致性。通常,我们必须通过 cli 安装程序,按正确顺序一次运行一个 JSON 模板。现在,这种手动按节点部署的操作方式已经成为过去,由批量操作取而代之。通过批量操作,几个 JSON 模板可在不受干预的情况下从一个目录中按顺序运行。运行之前,对目录使用预检查选项,以便验证模板包括序列。

 

 

生命周期管理操作


VMware vSphere 6.7 包含一些改进功能,可加快主机生命周期的管理以节省管理员的宝贵时间。


 

新的 vSphere Update Manager 界面

 

1. 启动 Google Chrome 浏览器

 

1. 选择“Use Windows session authentication”(使用 Windows 会话身份验证)

2. 单击“Login”(登录)

 

在 vCenter Server 的主页上:

1. 单击“Menu”(菜单)

2. 单击“Update Manager”

 

1. 单击“Updates”(更新)

2. 按“ID”筛选

3. 输入 2018

筛选的结果是所有 2018 年发布的补丁程序。您也可以按照“Release”(版本)下的版本、“Category”(类别)、“Type”(类型)等条件进行筛选。

 

 

带嵌入式链接模式的 Update Manager

在 vSphere 6.7 中引入嵌入式链接模式后,您现在可以通过同一个界面管理所有 Update Manager 实例。

 

 

 

 

从 6.5 升级至 6.7

目前处于 ESXi 6.5 上的主机将以前所未有的速度升级到 6.7。这是因为我们已针对升级途径做了一些优化,包括将过去主机升级所需要的两次重新启动减少为一次。过去,使用 Update Manager 升级的主机会重新启动一次以开始升级过程,然后在升级完成之后再重新启动一次。配备了数百 GB RAM 的现代服务器硬件,通常需要数分钟的时间来完成初始化和自我测试过程。在升级期间进行两次硬件初始化的确很耗时,因此这项新的优化将显著缩短升级 vSphere 基础架构集群所需的维护时间。

这些新的改进减少了升级集群所需的总时间,缩短了维护时间,让您可以将宝贵的精力放在其他方面。

回想一下,由于 DRS 和 vMotion,应用从未在 Hypervisor 升级期间受到停机的困扰。虚拟机会根据需要在主机之间顺畅迁移。

 

 

vSphere 快速启动

什么是快速启动功能?快速启动功能允许仅重启 Hypervisor,而不是完全重新启动主机硬件(包括 POST 过程等)。将该功能与 vSphere Update Manager 一起使用,就能更快完成修补和升级过程。不要对向后兼容性抱有期望,请注意,此功能仅适用于运行 ESXi 6.7 的主机。即使您的硬件与新的快速启动功能兼容,如果运行的是旧版 ESXi,此功能也不可用。

主机不会频繁重新启动,但在将补丁程序应用于 Hypervisor 或安装第三方组件或驱动程序等活动后,通常很有必要。配备了大量 RAM 的现代服务器硬件可能需要较长时间来执行设备的初始化和自我测试。

快速启动功能会以有序的方式关闭 ESXi,然后立即将其重启,去掉了非常耗时的硬件初始化阶段。如果物理硬件需要数分钟或更长的时间来初始化设备并执行必要的自我测试,那么使用快速启动功能就可以大致将这些时间节省下来!在通常一次修复一台主机的大型集群中,很容易就能看出这项新技术在大幅缩短数据中心维护所需时间方面的表现。

由于实验室的性质,我们无法展示快速启动功能,因为 ESXi 是在 ESXi 上运行!单击此视频,观看快速启动实际操作!

 
 

 

Update Manager 入门


VMware vSphere Update Manager 是一种工具,可以对 VMware vSphere 补丁程序和版本自动进行集中管理并简化管理,还可以为 VMware ESX 主机、虚拟机和虚拟设备提供支持。 

借助 Update Manager,您可以执行下列任务:

  1. 升级和修补 ESXi 主机。
  2. 升级虚拟机硬件、VMware Tools 和虚拟设备。

默认情况下,vSphere Update Manager 在 vCenter Server Appliance 中安装和运行。每个 vCenter 设备都有一个与之配对的 vSphere Update Manager。


 

登录 vSphere Web Client

 

使用 Chrome Web 浏览器导航至 Web 客户端的 URL。在本实验室中,您可以使用地址栏中的快捷方式。

  1. 单击“RegionA”(区域 A)书签文件夹
  2. 单击“RegionA vSphere Client (HTML)”(区域 A vSphere Client (HTML))书签
  3. 选中“Use Windows session authentication”(使用 Windows 会话身份验证)选项框
  4. 单击“Login”(登录)

或者您也可以使用这些凭证

  1. 用户名:corp\Administrator
  2. 密码:VMware1!

请注意:本实验室中使用的所有用户凭证都会列在桌面上的 README.TXT 文件中。

 

 

在 Chrome 中缩小比率以获得更多屏幕空间

 

实验室桌面的屏幕分辨率不超过 1280x800。缩小浏览器可能有助于获得更高的清晰度。

  1. 在 Chrome 中选择“Options”(选项)菜单。
  2. 单击“-”按钮以缩小至 90%

这样可腾出更多查看空间,同时您仍可阅读文本。

 

 

导航至 Update Manager

 

导航至 Update Manager 界面

  1. 单击“Menu”(菜单)图标
  2. 单击“Update Manager”

 

 

选择“vcsa-01b.corp.local”

 

我们会在 vcsa-01b vCenter Server 创建一项基准。

  1. 确保在主机下拉菜单中选中“vcsa-01b.corp.local”

 

 

基准和基准组

 

基准可分为升级基准、扩展模块基准或补丁程序基准。基准包含由一个或多个补丁程序、扩展模块或升级程序组成的程序集。 

基准组由多个现有基准组合而成,可能包含每种类型的升级基准各一个以及一个或多个补丁程序和扩展模块基准。扫描主机、虚拟机和虚拟设备时,您可以根据基准和基准组对其进行评估,以确定它们的合规性级别。

默认情况下,Update Manager 包含两个预定义的动态补丁程序基准。

我们要创建一项新基准,然后利用它扫描 vSphere 主机,以确保它拥有最新的补丁程序。

  1. 选择“Baselines”(基准)选项卡。
  2. 单击“New”(新建)图标
  3. 单击“New Baseline”(新建基准)

 

 

新建基准

 

  1. 输入基准的名称 HOL Host Baseline 和描述。
  2. 在“Description”(描述)下,键入 Host Baseline
  3. 使用右侧的滚动条来访问屏幕剩余内容

 

 

基准定义(续)

 

  1. 选中“Patch”(补丁程序)单选按钮
  2. 单击“Next”(下一步)继续。

 

 

自动选择补丁程序。

 

此屏幕让基准能够根据您所选择的标准不断自我更新。您可以使用这些选项缩小向该基准添加的补丁程序范围(选择“embeddedExi 6.5.0”将把该基准限制为仅添加与 ESXi 6.5 相关的补丁程序)。

您可以根据以下方面来细化基准补丁程序:

  1. 例如,我们将把默认设置保留为在新补丁程序可用时自动更新基准。我们还将把所有选项的默认“Criteria”(标准)设置保留为“Any”(任何)
  2. 单击“Next”(下一步)

 

 

手动选择补丁程序

 

您可通过此屏幕手动选择基准包含的补丁程序。因为我们已经选择了自动更新此基准,所以此屏幕中不会显示补丁程序供您选择。如果您在之前的屏幕中禁用了自动更新选项,就会看到可供您手动选择包含到此基准中的所有补丁程序。

  1. 单击“Next”(下一步)

 

 

即将完成

 

完成向导之前,请检查已创建的补丁程序基准的设置

  1. 单击“Finish”(完成)以完成补丁程序基准

 

 

返回至集群和主机

 

接下来,我们要将刚刚创建的基准附加到主机。这样可对主机进行扫描和修复。

  1. 单击“Menu”(菜单)图标
  2. 选择“Hosts and Clusters”(主机和集群)

 

 

将补丁程序基准附加到主机

 

 

  1. 展开“vcsa-01b.corp.local”vCenter Server -->“RegionB01”数据中心 -->“RegionB01-COMP01”集群
  2. 单击“esx-01b.corp.local”主机
  3. 选择“Updates”(更新)选项卡。
  4. 单击“Attach”(附加)

 

 

选择基准

 

在打开的新窗口中,

  1. 单击“HOL Host Baseline”- 这是我们刚刚创建的新基准
  2. 单击“OK”(确定)以继续

 

 

验证基准是否已附加

 

在我们扫描主机检查其是否符合新基准之前,先验证是否附加了新基准,并查看其当前的合规性状态。

  1. 验证“HOL Host Baseline”是否在“Attached Baselines”(附加基准)中列出
  2. 请注意,当前状态显示“Unknown”(未知),这是您附加新基准时的正常状态。Update Manager 尚未扫描该主机,也没有将它的当前状态与基准状态进行对比。

在下一步中,我们将扫描该主机并查看其是否符合附加的基准。

 

 

扫描主机

 

接下来,我们将扫描该主机并查看其是否符合基准。

  1. 单击“CHECK COMPLIANCE”(检查合规性)按钮
  2. 您可能会在屏幕顶部的蓝色条上收到一条消息,表明需要刷新,请单击“Refresh”(刷新)链接以更新屏幕。单击“Refresh”(刷新)后,您可以单击“X”安全地关闭消息窗口
  3. 请注意该主机的新状态。其状态现在为“Compliant”(合规)。这表示该主机满足此基准中选择的补丁程序标准。

如果该主机漏掉了基准标准中指定的任何补丁程序,状态会显示为“Not Compliant”(不合规),表示该主机漏掉了基准中指定的某个补丁程序,您随后可以使用本屏幕上的“Remediate”(修复)选项来修复该主机。

注意:预检查现在是一项单独的操作,让管理员能够在初始化工作流之前验证集群是否已准备好升级。

 

 

视频:使用 Update Manager 升级 vSphere 主机

 
 

vSphere Update Manager 还可用于更新虚拟机上的 VMware Tools。下面的视频概述了此流程。

 

嵌入式链接模式


vCenter 嵌入式链接模式是凭借嵌入式 Platform Services Controller 支持 vCenter Server Appliance 的增强型链接模式。此实验室是使用 vSphere 6.7 嵌入式链接模式配置的。

借助 vCenter 嵌入式链接模式,您可以将多个 vCenter Server Appliance 与嵌入式 Platform Services Controller 连接在一起,形成一个域。Windows vCenter Server 安装不支持 vCenter 嵌入式链接模式。vCenter 嵌入式链接模式从 vSphere 6.5 Update 2 开始受到支持,适用于大多数部署。

vCenter 嵌入式链接模式的其他功能包括:


 

嵌入式链接模式(演示)

 
 

 

总结


vSphere 6.7 基于 vSphere 6.5 实现的技术创新构建,将客户体验提升到一个全新的水平。它可大规模提供卓越的管理简便性、运维效率以及更短的销售就绪时间。

6.7 借助增强的 vCenter Server Appliance (vCSA) 为用户带来非凡体验。它引入了一些新的 API,无论是在部署 vCenter、基于模板部署多个 vCenter、大幅简化 vCenter Server Appliance 的管理,还是备份和还原,都提高了效率并改进了体验。它还通过配有嵌入式 Platform Services Controller 的 vCenter,在增强型链接模式下,大大简化了 vCenter Server 拓扑,使客户能够链接多个 vCenter,跨环境实现顺畅的可见性,无需外部 Platform Services Controller 或负载均衡器。

此外,借助 vSphere 6.7,vCSA 的性能得到显著提升

这些性能改进可确保为 vSphere 用户带来超快体验,还能在各种使用情形中(例如 VDI、横向扩展应用、大数据、HPC、DevOps、分布式云原生应用等)实现重要价值、节省时间和成本。

vSphere 6.7 可在更新 ESXi 主机时大规模提高效率,通过消除主要版本升级时通常所需的两次重新引导中的一次(单次重新引导),大大缩短了维护时间。除此以外,vSphere 快速启动还是一项新的创新,能够在不重新启动物理主机的情况下重新启动 ESXi Hypervisor,从而跳过耗时的硬件初始化环节。

使 vSphere 6.7 能够提供简单、高效体验的另一个关键组件就是图形用户界面本身。基于 HTML5 的 vSphere Client 可提供现代化的用户界面体验,它兼具响应迅速和易于使用的特点。对于 vSphere 6.7,它包含的新增功能不仅支持典型的工作流客户需求,还支持管理 NSX、vSAN、VUM 以及第三方组件等其他主要功能。


 

您已完成第 2 单元的学习!

 

祝贺您!您已经完成了第 2 单元的学习!

要了解有关新管理功能的更多信息,请使用以下链接:

继续学习以下您最感兴趣的任意单元。

 

 

 

如何结束实验

 

要结束实验,请单击“END”(结束)按钮。

 

第 3 单元 - 全面的内置安全性(60 分钟)

简介


vSphere 6.7 以 vSphere 6.5 中的安全功能为基础构建,还利用了其作为 Hypervisor 的独特地位来提供全面的安全保护:从内核开始,通过一个操作简单的策略驱动模型实现。

本单元将重点介绍:

  • ESXi 对 TPM 2.0 的支持:确保 Hypervisor 的完整性,并支持远程主机认证。
  • 虚拟 TPM 2.0:为客户机操作系统的安全功能提供必要的支持,同时还保留了 vMotion 和灾难恢复等运维功能。 
  • 增强的虚拟机加密和跨 vCenter 加密 vMotion:跨混合云保护静态数据和动态数据免受未经授权的访问。
  • 对 VBS 的支持:在 vSphere 上支持 Windows 10 和 Windows 2016 的安全功能,例如 Credential Guard。

 


对新安全技术的支持


6.7 的安全目标有两个:引入更多易用的安全功能;满足客户的 IT 和安全团队提出的要求。借助 vSphere 6.7,我们已经实现了这两个目标。我们来深入讨论一些新功能特性和变化。vSphere 6.7 包含对市场上最新安全功能的支持。


 

ESXi 的 TPM 2.0 支持

TPM(可信平台模块)是笔记本电脑、台式电脑或服务器系统上的设备。它用于存储加密数据(密钥、凭证、哈希值)。ESXi 上的 TPM 1.2 的支持已经存在了很多年,但主要由合作伙伴使用。TPM 2.0 并不向后兼容 1.2,并且,所有新的设备驱动程序和 API 开发都需要支持 TPM 2.0。可信计算组织很好地介绍了 TPM 的概念及其功能

ESXi 对 TPM 2.0 的使用是建立在 6.5 的“安全启动”功能基础之上的。我们会验证系统在启动时是否启用了“安全启动”功能,我们获取衡量值并将其存储在 TPM 中。vCenter 将读取这些衡量值,并将其与 ESXi 本身报告的值进行比较。如果两组值相符,那么主机在启动时就启用了“安全启动”功能,这样,所有安全功能(例如,仅运行经过签名的代码以及无法安装未经签名的代码)的应用就得到了保证。vCenter 将在 vCenter Web 客户端中提供认证报告,向您展示每个主机的状态。

 

 

适用于虚拟机的虚拟 TPM 2.0

为了让虚拟机支持 TPM,我们的工程师创建了虚拟化的 TPM 2.0 设备。它在 Windows 中显示为正常的 TPM 2.0 设备。它可以像物理 TPM 一样执行与密码相关的操作并存储凭证。但是,我们如何确保存储在虚拟 TPM 中的数据的安全?我们将该数据写入虚拟机的 nvram 文件,并借助虚拟机加密确保该文件的安全。这可确保 vTPM 中数据的安全,并且它会随虚拟机一起迁移。如果我将该虚拟机复制到另一个数据中心,而该数据中心未经过配置,无法与我的 KMS 通信,那么该 vTPM 中的数据会受到保护。所有相同的虚拟机加密规则都适用。

注意:系统只加密虚拟机主目录文件,而不会加密 VMDK,除非您选择对后者进行加密。

我们为什么不使用硬件 TPM?

硬件 TPM 有许多限制。它属于串行设备,因此速度很慢。受保护的 nvram 存储容量按字节计算。它的设计不适合在主机上容纳 100 台以上的虚拟机。无法在物理 TPM 上存储所有 TPM 数据。对于它执行的与密码相关的操作,需要使用调度程序。想象一下,100 台虚拟机试着加密一些内容,全靠一台一次只能执行一项操作的串行设备?

即使我可以采用物理方式存储数据,那么考虑一下 vMotion。我必须安全地将数据从一个物理 TPM 中删除并复制到另一个物理 TPM 中。然后用新的 TPM 密钥对数据重新签名。所有这些操作实践起来都非常缓慢,还面临着其他各种安全问题和要求。

注意:要运行虚拟 TPM,您需要进行虚拟机加密。这意味着您将需要第三方秘钥管理基础架构。

 

 

Microsoft 基于虚拟化的安全性支持

Microsoft 在 2015 年引入了基于虚拟化的安全性。我们曾与 Microsoft 密切合作,以便在 vSphere 6.7 中为这些功能提供支持。我们来简单概述一下,为了实现这个目标,我们都做了些什么。

当您在运行 Windows 10 的笔记本电脑上启用 VBS 时,系统将重新启动,但不是直接启动 Windows 10,而是启动 Microsoft 的 Hypervisor。对于 vSphere,这意味着以前直接运行 Windows 10 的虚拟机现在将运行 Microsoft 的 Hypervisor,而 Hypervisor 则运行 Windows 10。这叫做嵌套虚拟化,VMware 在这方面有着丰富的经验。多年以来,我们的动手实验室一直在使用嵌套虚拟化。

在 vSphere 级别启用 VBS 时,有一个复选框会打开大量功能。

但该操作不会在虚拟机的客户操作系统内启用 VBS。对此,请遵循 Microsoft 的指导。这可通过 PowerShell 脚本、组策略等工具完成。

重点是,vSphere 的作用是提供虚拟硬件以支持 VBS 的启用。结合虚拟 TPM,您现在可以启用 VBS 并打开 Credential Guard 等功能。

 

虚拟机加密


VMware vSphere® 虚拟机加密是 vSphere 6.5 中引入的功能,用来实现虚拟机的加密。通过先从虚拟机(已启用虚拟机加密功能)对 I/O 进行加密,然后再将 VMDK 数据存储在 VMDK 中,虚拟机加密以此来确保这些数据的安全。


 

如何为 vSphere 6.7 启用虚拟机加密功能

与加密现有的虚拟机相比,创建加密虚拟机的速度更快,使用的存储资源也更少。如有可能,请将对虚拟机加密作为创建流程的一部分。(请参阅 HOL-1911-04-SDC - vSphere 6.7 安全性入门,第 3 单元,详细了解实训内容。)

先决条件

具体规程

  1. 使用 vSphere HTML 5 客户端连接到 vCenter Server。
  2. 在清单中选择虚拟机的有效父对象,例如 ESXi 主机或集群。
  3. 右键单击对象,选择“New Virtual Machine”(新建虚拟机)>“New Virtual Machine”(新建虚拟机),然后按照提示创建加密虚拟机。

 

 

 

启用虚拟机加密

观看此视频,了解如何在 vSphere 6.7 的虚拟机上启用虚拟机加密

 
 

 

在 vCenter Server 中配置 Hytrust KMS 服务器


在本课程中,我们将添加(2 个)HyTrust KMS 服务器,以便让我们能够加密虚拟机并使用加密的 vMotion。如果 vCenter Server 和 KMS 服务器之间没有建立信任关系,我们将无法利用新的 vSphere 6.7 加密功能。


 

启动 Google Chrome

 

如果 Google Chrome 未打开,请执行以下步骤,否则可跳过此步骤:

  1. 单击快速启动栏中的 Google Chrome 图标

 

 

区域 A

 

如果您要打开新的 Google Chrome 浏览器窗口,请执行以下步骤,否则可以跳过此步骤:

  1. 单击书签工具栏中的“RegionA”(区域 A)文件夹。
  2. 然后单击“RegionA vSphere Client (HTML)”(区域 A vSphere Client (HTML))

 

 

登录区域 A vCenter Server

 

如果已经登录到区域 A vCenter Server,您可以跳过以下步骤。如果没有,则请完成以下步骤:

  1. 在“User name:”(用户名:)文本字段中,键入 administrator@corp.local
  2. 在“Password:”(密码:)文本字段中,键入 VMware1!
  3. 单击“Login”(登录)按钮。

 

 

“Menu”(菜单)下拉菜单

 

  1. 单击屏幕顶部的“Menu”(菜单)下拉图标。
  2. 然后从“Menu”(菜单)下拉菜单中,选择“Global Inventory Lists”(全局清单列表)

 

 

选择 vCenter Server

 

  1. 从“Global Inventory Lists”(全局清单列表)中单击“vCenter Server”

 

 

vcsa-01a.corp.local

 

  1. 单击“vcsa-01a.corp.local”vCenter Server。

 

 

添加 HyTrust Key Manager (KMS) 服务器

 

要使用 vSphere 中任何类型的加密功能,我们必须首先启动并运行密钥管理服务器 (KMS)。然后,我们必须至少向 vCenter Server 添加(1 个)KMS 服务器,并在该 KMS 和 vCenter Server 之间配置信任关系。因此,我们首先需要做的就是向 vCenter 添加 KMS 服务器,请执行以下任务来实现此目标:

  1. 单击内容窗格中的“Configure”(配置)选项卡。
  2. 在“More”(更多)类别下单击“Key Management Servers”(密钥管理服务器)
  3. 在内容窗格中单击“ADD”(添加)以添加 KMS 服务器。

 

 

vcsa-01a.corp.local - 添加 KMS

 

  1. 在“New cluster name”(新集群名称)文本字段中键入 HOL-KMS-01a
  2. 在“Server name”(服务器名称)文本字段中键入 kms-01a
  3. 在“Server address”(服务器地址)文本字段中键入 kms-01a.corp.local
  4. 然后在“Server port”(服务器端口)文本字段中键入 5696
  5. 现在,单击“ADD”(添加)按钮。

 

 

kms-01a.corp.local - 信任

 

  1. 单击“Make vCenter Trust KMS”(使 vCenter 信任 KMS)弹出窗口中的“TRUST”(信任)按钮。

 

 

使 KMS 信任 vCenter

 

我们发现 HyTrust KMS 服务器未显示其连接状态,因此,此时需要在 vCenter Server 和 HyTrust KMS 服务器之间建立信任关系。

要在 HyTrust KMS 服务器和 vCenter Server 之间创建信任关系,请执行以下操作:

  1. 选中“kms-01a”KMS 服务器名称旁边的单选按钮。
  2. 单击“MAKE KMS TRUST VCENTER”(使 KMS 信任 vCenter)链接。

 

 

KMS 证书和私钥

 

  1. 选中“KMS certificate and private key”(KMS 证书和私钥)旁边的单选按钮
  2. 单击“NEXT”(下一步)按钮。

 

 

导入 KMS 证书和私钥

 

  1. 单击弹出窗口上半部分的“Upload file”(上传文件)按钮。

 

 

选择证书

 

我们已从 HyTrust KMS 服务器 Web 界面下载此证书 PEM 文件。

  1. 浏览到以下路径:C:\LabFiles\HOL-1911\KMIPvcsa01a\
  2. 选择“KMIPvcsa01a.pem”文件。
  3. 单击“Open”(打开)按钮。

注意:请务必从“KMIPvcsa01a”文件夹而不是“KMIPvcsa01b”文件夹中选择“KMIPvcsa01a.pem”文件!

 

 

上传证书

 

  1. 单击“Upload file”(上传文件)按钮。

 

 

选择证书

 

我们已从 HyTrust KMS 服务器 Web 界面下载此证书 PEM 文件。

  1. 浏览到以下路径:C:\LabFiles\HOL-1911\KMIPvcsa01a\
  2. 选择“KMIPvcsa01a.pem”文件。
  3. 单击“Open”(打开)按钮。

注意:请务必从“KMIPvcsa01a”文件夹而不是“KMIPvcsa01b”文件夹中选择“KMIPvcsa01a.pem”文件!

 

 

建立信任关系

 

  1. 单击“ESTABLISH TRUST”(建立信任)按钮。

 

 

确认信任和连接状态

 

要验证 HyTrust KMS 服务器和 vCenter Server 之间是否已建立信任关系,请执行以下操作:

  1. 确认 HyTrust KMS 服务器的“Connection State”(连接状态)列下的状态为“Connected”(已连接),“vCenter Certificate Status”(vCenter 证书状态)列下为“Valid”(有效)

 

 

选择“vcsa-01b.corp.local”

 

接下来,我们将向“vcsa-01b.corp.local” vCenter Server 添加“kms-01b.corp.local”HyTrust KMS 服务器。

  1. 在左侧导航窗格中,单击“vcsa-01b.corp.local”vCenter Server。

 

 

添加 HyTrust Key Manager (KMS) 服务器

 

添加第二台 HyTrust KMS 服务器的流程和我们刚刚在本课程中介绍的一样,就不再重复了。

  1. 单击内容窗格中的“Configure”(配置)选项卡。
  2. 在“More”(更多)类别下单击“Key Management Servers”(密钥管理服务器)
  3. 在内容窗格中单击“ADD”(添加)以添加 KMS 服务器。

 

 

vcsa-01b.corp.local - 添加 KMS

 

  1. 在“New cluster name”(新集群名称)文本字段中键入 HOL-KMS-01b
  2. 在“Server name”(服务器名称)文本字段中键入 kms-01b
  3. 在“Server address”(服务器地址)文本字段中键入 kms-01b.corp.local
  4. 然后在“Server port”(服务器端口)文本字段中键入 5696
  5. 现在,单击“ADD”(添加)按钮。

 

 

kms-01b.corp.local - 信任

 

  1. 单击“Make vCenter Trust KMS”(使 vCenter 信任 KMS)弹出窗口中的“TRUST”(信任)按钮。

 

 

使 KMS 信任 vCenter

 

我们发现 HyTrust KMS 服务器未显示其连接状态,因此,此时需要在 vCenter Server 和 HyTrust KMS 服务器之间建立信任关系。

要在 HyTrust KMS 服务器和 vCenter Server 之间创建信任关系,请执行以下操作:

  1. 选中“kms-01b”KMS 服务器名称旁边的单选按钮。
  2. 单击“MAKE KMS TRUST VCENTER”(使 KMS 信任 vCenter)链接。

 

 

KMS 证书和私钥

 

  1. 选中“KMS certificate and private key”(KMS 证书和私钥)旁边的单选按钮
  2. 单击“NEXT”(下一步)按钮。

 

 

导入 KMS 证书和私钥

 

  1. 单击弹出窗口上半部分的“Upload file”(上传文件)按钮。

 

 

选择证书

 

我们已从 HyTrust KMS 服务器 Web 界面下载此证书 PEM 文件。

  1. 浏览到以下路径:C:\LabFiles\HOL-1911\KMIPvcsa01b\
  2. 选择“KMIPvcsa01b.pem”文件。
  3. 单击“Open”(打开)按钮。

注意:请务必从“KMIPvcsa01b”文件夹而不是“KMIPvcsa01a”文件夹中选择“KMIPvcsa01b.pem”文件!

 

 

上传证书

 

  1. 单击“Upload file”(上传文件)按钮。

 

 

选择证书

 

我们已从 HyTrust KMS 服务器 Web 界面下载此证书 PEM 文件。

  1. 浏览到以下路径:C:\LabFiles\HOL-1911\KMIPvcsa01b\
  2. 选择“KMIPvcsa01b.pem”文件。
  3. 单击“Open”(打开)按钮。

注意:请务必从“KMIPvcsa01b”文件夹而不是“KMIPvcsa01a”文件夹中选择“KMIPvcsa01b.pem”文件!

 

 

建立信任关系

 

  1. 单击“ESTABLISH TRUST”(建立信任)按钮。

 

 

确认信任和连接状态

 

要验证 HyTrust KMS 服务器和 vCenter Server 之间是否已建立信任关系,请执行以下操作:

  1. 确认 HyTrust KMS 服务器的“Connection State”(连接状态)列下的状态为“Connected”(已连接),“vCenter Certificate Status”(vCenter 证书状态)列下为“Valid”(有效)

 

 

在 vCenter Server 中配置 HyTrust KMS 服务器 - 完成

您已完成本单元的第一课“在 vCenter Server 中配置 HyTrust KMS 服务器”!

我们已完成本课程:添加了(2 台)HyTrust KMS 服务器,在 HyTrust KMS 服务器和 vCenter Server 之间建立了相应的信任关系。我们还发现,添加的第一台 HyTrust KMS 服务器始终会被自动选择为集群的默认 KMS 服务器

 

使用 HyTrust KMS 服务器加密虚拟机


在本课中,我们将使用已安装的 HyTrust KMS 服务器加密虚拟机。我们还将使用 vSphere Web Client (HTML5) 对虚拟机进行加密和解密。


 

“Menu”(菜单)下拉菜单

 

我们先来看一下 vCenter 的“Policies and Profiles”(策略和配置文件)部分,了解默认的虚拟机加密策略

  1. 单击页面顶部的“Menu”(菜单)图标。
  2. 从“Menu”(菜单)下拉菜单中,选择“Policies and Profiles”(策略和配置文件)

 

 

默认虚拟机加密策略

 

  1. 从导航窗格中,单击“VM Storage Policies”(虚拟机存储策略)
  2. 我们看到已经有两 (2) 个“VM Encryption Policies”(虚拟机加密策略),默认情况下,每个 vCenter Server 上一个。

注意:虽然 VMware 为我们创建了默认虚拟机加密策略,但您也可以根据需要创建自己的策略。

 

 

默认加密属性

 

  1. 在导航窗格中,单击“Storage Policy Components”(存储策略组件)
  2. 我们看到列出了两个“Default encryption properties”(默认加密属性)组件,每个 vCenter Server 一个。
  3. 我们还看到内容窗格底部提供了说明。

 

 

“Menu”(菜单)下拉菜单

 

现在,让我们返回“Hosts and Clusters”(主机和集群)视图,以便开始加密 core-01a 虚拟机的过程:

  1. 单击页面顶部的“Menu”(菜单)图标。
  2. 从“Menu”(菜单)下拉菜单中,选择“Hosts and Clusters”(主机和集群)

 

 

选择“core-01a”

 

现在,我们要加密 core-01a 虚拟机,为此,请执行以下步骤:

  1. 在左侧导航窗格中,右键单击“core-01a”虚拟机
  2. 单击下拉菜单中的“VM Policies”(虚拟机策略)
  3. 然后从“VM Policies”(虚拟机策略)下拉菜单中,单击“Edit VM Storage Policies”(编辑虚拟机存储策略)

 

 

core-01a - 编辑虚拟机存储策略

 

在这里,我们看到 VMware 已经创建了一些默认策略,但我们将通过执行以下步骤来专门选择虚拟机加密策略:

  1. 单击“VM storage policy”(虚拟机存储策略)下拉菜单中的箭头,选择“VM Encryption Policy”(虚拟机加密策略)
  2. 然后,单击“Configure per disk”(按磁盘配置)滑块以启用该设置

注意:在本实验室练习中,我们将加密虚拟机的所有组件。但正如我们所看到的,我们可以选择仅加密“VM Home”(虚拟机主目录)文件夹或“Hard disk 1”(硬盘 1)。若要仅加密一个项目,您必须单击窗口右上角的滑块以允许您选择单个项目。

 

 

core-01a - 按磁盘配置

 

我们看到,启用“Configure per disk”(按磁盘配置)选项之后,“VM Home”(虚拟机主目录)文件夹和“Hard disk 1”(硬盘 1)不再是灰显状态,我们可以单独管理各个策略。

  1. 暂时单击“Hard disk 1”(硬盘 1)的下拉菜单,选择“VM Encryption Policy”(虚拟机加密策略)。现在,我们可以看到如何为虚拟机的两个组件单独分配策略。查看选项之后,返回到“Datastore Default”(默认数据存储)选项。

注意:在本实验室练习中,我们将加密虚拟机的所有组件。但正如我们所看到的,我们可以选择仅加密“VM Home”(虚拟机主目录)文件夹或“Hard disk 1”(硬盘 1)

 

 

core-01a - 编辑虚拟机存储策略

 

  1. 单击滑块以关闭“Configure per disk”(按磁盘配置)
  2. 单击“VM storage policy”(虚拟机存储策略)下拉菜单中的箭头,选择“VM Encryption Policy”(虚拟机加密策略)(如果尚未选中)。
  3. 然后单击“OK”(确定)按钮。

 

 

core-01a - 验证虚拟机存储策略合规性

 

仍然在导航窗格中选择“core-01a”,并执行以下步骤:

  1. 在 core-01a 的内容窗格中,使用滚动条到达页面底部,直到看到“VM Storage Policies”(虚拟机存储策略)小组件。
  2. 如有需要,请单击“VM Storage Policies”(虚拟机存储策略)小组件右上角的箭头将其打开
  3. 现在,我们应该看到已经为虚拟机分配了“VM Encryption Policy”(虚拟机加密策略),此外,绿色复选标记表示策略合规

 

 

core-01a - 不合规(如果需要)

 

如果出于任何原因,“VM Storage Policy”(虚拟机存储策略)小组件在一两分钟后没有信息或显示不合规,则请执行以下步骤:

  1. 单击“Check Compliance”(检查合规性)链接以更新合规性信息。

注意:单击“Check Compliance”(检查合规性)链接之后,应在不到一分钟的时间内更新信息并显示合规。如果状态未改变,请尝试刷新 Web 浏览器窗口。在此之后,如果仍然没有更新以正确反映相关信息,请在动手实验室界面中举手寻求帮助或在现实中举手以引起监管人员的注意。

 

 

选择“core-01a”

 

现在,我们要解密 core-01a 虚拟机,为此,请执行以下步骤:

  1. 在左侧导航窗格中,右键单击“core-01a”虚拟机
  2. 单击“VM Policies”(虚拟机策略)
  3. 选择“Edit VM Storage Policies”(编辑虚拟机存储策略)

 

 

core-01a - 编辑虚拟机存储策略

 

  1. 单击“VM storage policy”(虚拟机存储策略)下拉菜单中的箭头,选择“Datastore Default”(默认数据存储)
  2. 然后单击“OK”(确定)按钮。

 

 

core-01a - 验证虚拟机是否已解密

 

  1. 单击“Check Compliance”(检查合规性)链接以更新合规性信息。
  2. 现在,我们应该看到不再显示“VM Encryption Policy”(虚拟机加密策略)。

注意:单击“Check Compliance”(检查合规性)链接之后,应在几分钟时间内更新信息,并且显示“VM Storage Policies”(虚拟机存储策略)小组件现在为空。如果状态未更改,请刷新 Web 浏览器窗口,然后重新检查“VM Storage Policies”(虚拟机存储策略)小组件。如果仍显示加密策略,请在动手实验室界面中举手寻求帮助或在现实中举手以引起监管人员的注意。

 

 

使用 HyTrust KMS 服务器加密虚拟机 - 完成

在本课中,我们使用 vSphere Web Client 将虚拟机加密策略应用于 core-01a 虚拟机。应用该策略之后,系统显示虚拟机符合虚拟机加密策略。然后,我们通过相同的步骤从 core-01a 虚拟机中移除加密策略。完成该任务后,我们可以看到虚拟机存储策略小组件变回空白组件。这是正常情况,意味着我们成功移除了虚拟机文件上的加密。

使用 vSphere Web Client 并不是加密或解密虚拟机的唯一方法。我们还可以使用 PowerCLI 命令以更高效的方式同时对单个或多个虚拟机执行相同的操作。如果要同时更改大量虚拟机的加密状态,最佳做法是使用 PowerCLI 命令来执行此操作。

在后续课时中,我们将更详细地讨论如何使用 PowerCLI 来完成各种与加密相关的任务。此外,我们还将在本单元后面的部分实际使用 PowerCLI 命令加密和解密虚拟机。

 

将虚拟机设置为 Encrypted vMotion 模式


在本课中,我们将讲解设置虚拟机以使用 Encrypted vMotion 模式的步骤。我们将展示在 vSphere Web Client 中配置这一设置的过程。但由于资源限制,我们不会在实验室环境中真正执行 vMotion 操作。更不用说,我们实际上无法“看到”虚拟机是否确实执行了vMotion 操作并加密。


 

core-01a - 编辑设置

 

  1. 右键单击名为“core-01a”的虚拟机
  2. 从下拉菜单中选择“Edit Settings”(编辑设置)

注意:实验室环境中的虚拟机列表可能与抓屏中显示的列表稍有不同。

 

 

core-01a - 虚拟机选项

 

在以下实验室步骤中,我们将讲解设置 Encrypted vMotion 的步骤,但我们实际上不会完成这些步骤,因为我们其实无法看到 vMotion 操作是否已加密。更不用说,这有助于减少实验室中所需的资源量。

  1. 在弹出窗口中,单击“VM Options”(虚拟机选项)选项卡。
  2. 单击“Encryption”(加密)旁边的箭头将其展开并显示“Encrypt VM”(加密虚拟机)和“Encrypted vMotion”设置。
  3. 我们看到在这里可以选择“None”(无)或“VM Encryption Policy”(虚拟机加密策略),这向我们展示了与“Policies and Profiles”(策略和配置文件)部分中不同的另一种在虚拟机上设置加密的方法。

 

 

core-01a - Encrypted vMotion

 

另请注意,如果虚拟机设置已设置为加密,则它将自动使用 Encrypted vMotion。但我们看到“Encrypted vMotion”有三 (3) 个选项。

  1. 由于虚拟机之前已经加密,“Encrypted vMotion”设置已设为“Required”(必要),但这可以更改。
  2. 单击“CANCEL”(取消)按钮,因为我们其实不需要进行更改,这是因为我们不会实际执行 vMotion 操作。

 

 

core-01a - 迁移

 

在接下来的几个步骤中,我们实际上不会完成 vMotion 操作,因为我们其实无法看到 vMotion 操作是否已加密。更不用说,这有助于减少实验室环境中所需的资源量。

  1. 右键单击名为“core-01a”的虚拟机
  2. 从下拉菜单中选择“Migrate”(迁移)

 

 

core-01a - 选择迁移类型

 

  1. 保留“Change compute resource only”(仅更改计算资源)单选按钮的默认设置,然后单击“Next”(下一步)按钮。

 

 

core-01a - 选择计算资源

 

现在,core-01a 虚拟机应该位于“esx-02a.corp.local”上,因此我们要将其迁移到 esx-01a.corp.local。

  1. 选择要迁移到的“esx-01a.corp.local”主机。
  2. 验证“Compatibility”(兼容性)下是否显示“Compatibility checks succeeded”(已通过兼容性检查)
  3. 然后单击“Next”(下一步)按钮

 

 

core-01a - 选择网络

 

  1. 验证“Compatibility”(兼容性)下是否显示“Compatibility checks succeeded”(已通过兼容性检查)
  2. 保留默认选择的网络,然后单击“Next”(下一步)按钮。

 

 

core-01a - 即将完成

 

注意:出于以下原因,我们并没有实际执行 vMotion 操作:

为了完成最后一步:

  1. 我们随后将审查这些信息,以确保我们的所有选择都是正确的。
  2. 通常我们会选择“Finish”(完成)按钮,但由于这是实验室环境,我们将选择“Cancel”(取消)按钮,这样我们就不会启动 vMotion 任务

 

 

将虚拟机设置为 Encrypted vMotion 模式 - 完成

有关设置虚拟机以启用 Encrypted vMotion 的课时到此结束。我们了解到,无论虚拟机是否已加密,都可以在源主机上对其进行加密,然后在目标主机上进行解密。我们还了解到,当虚拟机已经加密时,Encrypted vMotion 不需要其他设置。但是,当虚拟机尚未加密时,如果我们愿意的话,只需从一台主机向另一台主机执行 vMotion,即可手动选择对其进行加密。

 

为 VBS 配置 Windows 10


在本课中,我们将展示如何在 Windows 10 虚拟机上启用基于虚拟化的安全性 (VBS)


 

启动 Google Chrome

 

如果 Google Chrome 尚未打开,请执行以下步骤;如果已经打开,则可以跳过此步骤:

  1. 或者单击快速启动栏中的 Google Chrome 图标

 

 

区域 A

 

如果您要打开新的 Google Chrome 浏览器窗口,请执行以下步骤,否则可以跳过此步骤:

  1. 单击书签工具栏中的“RegionA”(区域 A)文件夹。
  2. 然后单击“RegionA vSphere Client (HTML)”(区域 A vSphere Client [HTML])

 

 

登录区域 A vCenter Server

 

如果已经登录区域 A vCenter Server,您可以跳过以下步骤。如果没有,则请完成以下步骤:

  1. 在“User name:”(用户名:)文本字段中,输入 administrator@corp.local
  2. 在“Password:”(密码:)文本字段中,输入 VMware1!
  3. 单击“Login”(登录)按钮。

 

 

主机和集群

 

  1. 在导航窗格中单击“Hosts and Clusters”(主机和集群)图标。
  2. 如有需要,请单击“vcsa-01a.corp.local”vCenter Server 旁边的箭头并展开所有内容,直到看到虚拟机列表。

 

 

win10 - 编辑设置

 

  1. 在导航窗格中,右键单击“win10”虚拟机
  2. 单击“Edit Settings”(编辑设置)

 

 

win10 - 验证安全启动

 

现在,我们将验证是否已经为该 win10 虚拟机启用安全启动。如果没有,请确保选中复选框以启用安全启动。

  1. 在“Edit Settings”(编辑设置)弹出窗口中,单击“VM Options”(虚拟机选项)
  2. 确认已选中该复选框即表示“Secure Boot”(安全启动)启用,否则,请阅读下面的注意事项。
  3. 然后单击“OK”(确定)按钮。

注意:如果出于任何原因尚未启用安全启动,我们必须关闭该 win10 虚拟机,然后转到相关选项以启用该设置。除非在启用或禁用时关闭虚拟机,否则设置将不会保留。

 

 

win10 - 虚拟机

 

  1. 在导航窗格中,单击“VMs and Templates”(虚拟机和模板)图标。
  2. 在导航窗格中,单击“vcsa-01b.corp.local”vCenter Server。
  3. 然后,单击内容窗格中的“VMs”(虚拟机)选项卡

 

 

win10 - 显示/隐藏列

 

  1. 单击列标题中的向下箭头
  2. 单击“Show/Hide Columns”(显示/隐藏列)
  3. 然后,使用滚动条一直滚动到列表底部。
  4. 选中复选框以启用“TPM”和“VBS”列。
  5. 单击空白区域中的任意位置以关闭下拉菜单,现在您便可以看到“TPM”列。

 

 

win10 - VBS 列

 

  1. 现在,我们可以在“VBS”列中看到 win10 虚拟机显示为“Not Present”(不存在)

 

 

win10 - 启动 Web 控制台

 

  1. 在导航窗格中单击“Hosts and Clusters”(主机和集群)图标。
  2. 在导航窗格中单击“win10”虚拟机
  3. 然后单击“Launch Web Console”(启动 Web 控制台)链接,以打开虚拟机的控制台窗口。

 

 

win10 - 桌面

 

  1. 单击桌面上的任意位置以启动登录屏幕。

 

 

win10 - 登录

 

  1. 在“Password”(密码)文本字段中输入 VMware1!
  2. 然后单击箭头图标以登录虚拟机。

 

 

win10 - 启动 PowerShell(管理员)

 

  1. 单击桌面左下角的“Windows”图标。
  2. 然后单击菜单中的“Windows PowerShell (Admin)”(Windows PowerShell [管理员])

 

 

PowerShell - Set-ExecutionPolicy

 

我们需要先设置执行策略,以允许运行 DG_Readiness_Tool_v3.5.ps1 脚本。

  1. 在 PowerShell 中输入以下命令以更改目录位置。
Set-ExecutionPolicy Unrestricted
  1. 在 PowerShell 中输入以下命令以运行 DG Readiness Tool 脚本。
A

 

 

PowerShell - 更改目录和运行脚本

 

  1. 在 PowerShell 中输入以下命令以更改目录位置。
cd C:\DG_Readiness_Tool_v3.5\
  1. 在 PowerShell 中输入以下命令以运行 DG Readiness Tool 脚本。
./DG_Readiness_Tool_v3.5.ps1 -Capable -DG -CG -HVCI

 

 

PowerShell - 脚本输出

 

  1. 我们可以从运行 DG Readiness Tool 脚本的输出中看到,还没有为 win10 虚拟机启用安全启动。这是启用 VBS 的要求。

 

 

“vCenter Server”选项卡

 

  1. 单击 Google Chrome 上的“vSphere web client”选项卡。

 

 

win10 - 关闭客户机操作系统

 

  1. 在导航窗格中,右键单击“win10”虚拟机
  2. 单击下拉菜单中的“Power”(电源)
  3. 然后,在“Power”(电源)下拉菜单中,单击“Shut Down Guest OS”(关闭客户机操作系统)

注意:等到 win10 虚拟机完全关闭后再转到下一步。

 

 

win10 - 编辑设置

 

  1. 在导航窗格中,右键单击“win10”虚拟机
  2. 单击“Edit Settings”(编辑设置)

 

 

win10 - 虚拟机选项

 

  1. 在弹出窗口中,单击“VM Options”(虚拟机选项)选项卡。
  2. 选中“Secure Boot”(安全启动)旁边的“Enabled”(已启用)复选框以启用安全启动
  3. 然后单击“OK”(确定)按钮。

 

 

win10 - 启动

 

  1. 在导航窗格中,右键单击“win10”虚拟机
  2. 单击下拉菜单中的“Power”(电源)
  3. 然后,从“Power”(电源)下拉菜单中,单击“Power On”(启动)

 

 

“win10”虚拟机选项卡

 

  1. 单击 Google Chrome 上的“win10”选项卡。

注意:我们可能需要刷新 win10 浏览器选项卡,以防它超时。然后,我们还将需要使用密码 VMware1! 再次登录用户帐户。

 

 

win10 - 启动 PowerShell(管理员)

 

  1. 单击桌面左下角的“Windows”图标。
  2. 然后单击菜单中的“Windows PowerShell (Admin)”(Windows PowerShell [管理员])

 

 

PowerShell - 更改目录和运行脚本

 

  1. 在 PowerShell 中输入以下命令以更改目录位置。
cd C:\DG_Readiness_Tool_v3.5\
  1. 在 PowerShell 中输入以下命令以运行 DG Readiness Tool 脚本。
./DG_Readiness_Tool_v3.5.ps1 -Capable -DG -CG -HVCI
  1. 现在,我们看到一切都显示绿色,这表示一切正常,并且输出显示“Machine is Device Guard / Credential Guard Ready”(虚拟机已准备支持 Device Guard/Credential Guard),我们将在下一课中启用这些设置。

 

 

为 VBS 配置 Windows 10 - 完成

在本课中,我们验证了 win10 虚拟机的设置,即是否启用了“EFI Firmware”(EFI 固件)、“Secure Boot”(安全启动)和“Virtual Based Security (VBS)”(基于虚拟的安全性 [VBS])

 

默认情况下经 FIPS 140-2 验证的加密模块


在 vSphere(vCenter Server 和 ESXi)系统中,有两个模块用于加密操作。VMware 内核加密模块用于虚拟机加密和加密的 vSAN 功能;OpenSSL 模块用于证书生成和 TLS 连接等功能。这两个模块均已通过 FIPS 140-2 验证。客户已询问 vSphere 是否通过了 FIPS 认证。FIPS 认证适用于经过测试和配置的完整硬件和软件解决方案。VMware 使我们的合作伙伴能够更轻松地认证 vSphere 系统可以执行 FIPS 操作。由于默认已启用所有 FIPS 140-2 加密操作,vSphere 系统中的加密操作使用最高标准执行。


结束语


借助 vSphere 6.7,各企业能够实施新的安全功能、更加轻松地遵守法规要求并保护您的环境免受威胁。请参阅实验练习 HOL-1911-04-SDC - vSphere 6.7 安全性 - 入门,更深入地了解所有新功能特性。


 

您已完成第 3 单元的学习!

 

祝贺您!您已经完成了第 3 单元的学习!

要了解有关安全功能的更多信息,请使用以下链接:

继续学习以下您最感兴趣的任意单元。

 

 

 

如何结束实验

 

要结束实验,请单击“END”(结束)按钮。

 

第 4 单元 - 通用应用平台(15 分钟)

简介


vSphere 6.7 可以在任何地方运行任何类型的企业工作负载。并非所有公司都可以根据需要尽快实现从旧版应用到新式应用的过渡。VMware 可以在运行传统关键业务应用的同一平台上支持新式应用,如机器学习、人工智能、大数据、云原生、常驻内存和 3D 图形应用。


NVIDIA Grid:优化 vSphere 6.7 服务器上虚拟机的 GPU 使用率


了解如何优化 vSphere 服务器上虚拟机的 GPU 使用率。启用 3D 图形时,您可以选择硬件或软件图形渲染器并优化分配给虚拟机的图形内存。您可以增加多显示器配置中的显示器数量,并更改视频卡设置以满足您的图形要求。

 
 

持久内存


借助 vSphere 持久内存,使用受支持硬件服务器的客户,可以接近闪存产品的价格享受速度堪比 DRAM 的超高速存储。下图显示了内存和存储的融合。

 

金字塔顶端的技术(由 DRAM、CPU 缓存和寄存器组成)具有最短的延迟(最佳性能),但相对于金字塔底部的项目,其成本较高。所有这些组件都可以通过应用直接访问,这也称为加载/存储访问。

磁性介质(硬盘和磁带)和 NAND 闪存(以固态硬盘和 PCIe Workload Accelerator 为代表)所代表的金字塔底部的技术相对于金字塔顶端的技术而言,延迟较长,但成本较低。这些技术组件采用块访问,这意味着数据通常以数据块形式传送,并且应用不能直接访问。

PMEM 是名为非易失性内存 (NVM) 的新技术层,位于 NAND 闪存和 DRAM 之间,相对于 NAND 闪存,可提供更快的性能,但也提供传统内存产品中不常见的非易失性。该技术层通过传统存储的持久性提供内存性能。

企业级应用可以部署在向 PMEM 数据存储公开的虚拟机中。PMEM 数据存储则是由本地连接到每台服务器的 NVM 存储创建而成。然后,可以获得以下性能优势:

  • vSphere 可以分配一部分 PMEM 数据存储,并以磁盘形式(虚拟持久内存磁盘,可用作超快磁盘)将其呈现给虚拟机。在此模式下,不需要更改客户机操作系统或应用。
  • vSphere 可以在服务器中分配一部分 PMEM 数据存储,并以虚拟 NVDIMM 形式将其呈现给虚拟机。这种类型的虚拟设备会向虚拟机公开可按字节编址的持久内存。
    • 虚拟 NVDIMM 与支持持久内存的最新客户机操作系统兼容。由于修改后的操作系统文件系统会绕过缓冲区缓存,应用将不会发生更改并且可以更快地访问文件。
    • 可以修改应用以利用 PMEM,并通过直接和不间断的硬件访问来体验最高的性能提升。

部署在受 PMEM 支持的数据存储上的应用可以从实时迁移 (VMware vMotion) 和 VMware DRS 中受益,PMEM 在物理部署中是无法实现这一点的。


 

远程目录内存访问

vSphere 6.7 针对聚合以太网远程直接内存访问 (RDMA)(简称 RoCE [读作 rocky] v2)、新的软件以太网光纤通道 (FCoE) 适配器和适用于 RDMA 的 iSCSI 扩展 (iSER) 引入了新的协议支持。借助这些功能特性,客户能够与更高性能的存储系统集成,从而更灵活地使用最适合其工作负载要求的硬件。

RDMA 支持借助 vSphere 6.7 进行了增强,通过利用内核和操作系统旁路减少延迟和依赖性,大大提高了企业工作负载的性能。下图对此进行了说明。

 

当在直通模式下使用 RDMA 配置虚拟机时,工作负载基本上会与没有 DRS 功能(即无法执行 vMotion)的物理主机绑定。但对于想利用 vMotion 和 DRS 的强大功能并想继续体验 RDMA 优势的客户,还是可以借助半虚拟化的 RDMA 软件 (PVRDMA) 做到这一点,虽然性能会稍微受到影响。借助 PVRDMA,即使没有主机通道适配器 (HCA) 卡,应用也可以运行。基于 RDMA 的应用可以在 ESXi 客户机中运行,同时确保可以实时迁移虚拟机。

此技术的使用情形包括分布式数据库、财务应用和大数据。

 

 

总结

vSphere 6.7 通过增加对关键行业创新的支持以显著提升现有应用和新应用的性能,继续彰显了 VMware 的技术领导地位以及与合作伙伴之间富有成效的协作。

 
 

 

使用即时克隆来克隆虚拟机


您可以利用即时克隆技术,通过另一台已启动虚拟机的运行状态创建处于启动状态的虚拟机。实施即时克隆操作后,即可创建一台与源虚拟机完全相同的新虚拟机。利用即时克隆功能,您可以在受控的时间点创建新的虚拟机。对大规模应用部署来说,即时克隆非常方便,因为它能够确保内存效率,还支持在单个主机上创建大量虚拟机。

实施即时克隆操作后,即可创建一台被称为目标虚拟机的虚拟机。目标虚拟机的处理器状态、虚拟设备状态、内存状态和磁盘状态均与源虚拟机的相同。为避免网络冲突,您可以在执行即时克隆操作期间自定义目标虚拟机的虚拟硬件。例如,您可以自定义目标虚拟机的虚拟网卡的 MAC 地址或串行和并行端口配置。vSphere 6.7 不支持自定义目标虚拟机的客户机操作系统。有关手动自定义客户机操作系统的信息,请参阅《vSphere Web Services SDK 编程指南》。

在执行即时克隆操作期间,源虚拟机会在短时间内(不到 1 秒)被震慑。当源虚拟机被震慑时,将为每个虚拟磁盘生成新的可写增量磁盘,创建检查点并将其传输到目标虚拟机。然后,目标虚拟机将使用源虚拟机的检查点启动。目标虚拟机完全启动后,源虚拟机也将恢复运行。

即时克隆的虚拟机是完全独立的 vCenter Server 清单对象。您可以像管理常规虚拟机那样管理即时克隆的虚拟机,没有任何限制。

 
 

结束语


通过 VMware 与 NVIDIA 的协作,vSphere 6.7 进一步改进了针对图形处理单元 (GPU) 引进的支持和功能。借助持久内存和即时克隆技术,通用应用平台能够支持新的工作负载,并利用硬件创新来提高性能。


 

您已完成第 4 单元的学习!

 

祝贺您!您已经完成了第 4 单元的学习!

要了解有关本单元中所介绍功能特性的更多信息,请使用以下链接。

继续学习以下您最感兴趣的任意单元。

 

 

 

如何结束实验

 

要结束实验,请单击“END”(结束)按钮。

 

第 5 单元 - 顺畅的混合云体验(15 分钟)

简介


VMware vSphere 6.7 平台高效、安全且适用于混合云,它通过提供简单高效的规模化管理、全面的内置安全性、通用的应用平台以及顺畅的混合云体验,推动了数字化转型进程。

 
 

在 vCenter 之间迁移虚拟机


跨 vCenter vMotion

使用跨 vCenter vMotion (x-vC-vMotion) 可在位于同一或不同数据中心的 vCenter 之间迁移虚拟机。借助此功能,管理员可在 vCenter 之间轻松移动虚拟机而无需停机。vCenter 可位于同一数据中心或不同数据中心(两个数据中心之间的延迟不超过 150 毫秒)。

在 vCenter Server 实例之间执行迁移的要求


 

从 Windows 快速启动任务栏中打开 Chrome 浏览器

 

  1. 在 Windows 快速启动任务栏上,单击 Chrome 图标

 

 

登录 vCenter Server

 

登录区域 A vCenter

  1. 单击书签工具栏中的“RegionA”(区域 A)文件夹
  2. 单击书签工具栏中的“RegionA vSphere Client (HTML)”(区域 A vSphere Client [HTML])链接
  3. 选中“Use Windows session authentication”(使用 Windows 会话身份验证)复选框
  4. 单击“Login”(登录)按钮。

 

 

启动迁移向导

 

  1. 右键单击“core-01a”
  2. 从显示的上下文菜单中,选择“Migrate...”(迁移...)

这将启动迁移向导,从中我们可以选择要将虚拟机置于的位置。请注意,您看到的虚拟机列表可能根据您已完成的其他实验室练习而有所不同。还请注意,如果在一个 vCenter 或集群中执行 vMotion,将显示相同选项。无论 vMotion 目标为何,您均将使用相同选项。

 

 

选择迁移类型

 

  1. 选择“Change both compute resource and storage”(更改计算资源和存储)选项。
  2. 单击“Next”(下一步)

 

 

选择计算资源

 

  1. 展开“vcsa-01b.corp.local”、“RegionB01”和“RegionB01-COMP01”下的树
  2. 选择主机“esx-01b.corp.local”
  3. 注意:此向导将检查主机兼容性,以确认它满足一系列迁移要求。VMware vSphere 6.7 文档中心提供了有关检查内容的更多信息。
  4. 单击“Next”(下一步)

 

 

选择存储

 

  1. 选择存储“RegionB01-iSCSI01-COMP01”
  2. 单击“Next”(下一步)

vMotion 会将虚拟机迁移至新主机上可用的新数据存储。这可使虚拟机在没有共享存储的集群、vCenter 或数据中心之间移动。

 

 

选择文件夹

 

  1. 选择“RegionB01”
  2. 单击“Next”(下一步)

 

 

选择网络

 

  1. 选择“VM-RegionB01-vDS-COMP”网络。
  2. 单击“Next”(下一步)

这将更改与虚拟机关联的端口组。虚拟机中的 IP 或网络配置没有更改。必须设置您的网络,以使虚拟机移动至此新端口组而不更改 IP 或网络配置。通过网络虚拟化,可以跨第 3 层边界延展第 2 层网络。请参阅 NSX 实验室练习“HOL-1903-01-NET VMware NSX 入门”和“HOL-1925-02-NET‘活动-备用’设置中的 VMware NSX 多站点和 SRM”以了解更多信息。

请注意,根据您已完成的其他单元,您可能会在向导中看到另一屏幕,要求您设置 vMotion 优先级。如果显示此屏幕,请保留默认设置并单击“Next”(下一步)

 

 

即将完成

 

  1. 查看 vCenter 将用于执行 vMotion 的设置,然后单击“Finish”(完成)

 

 

在“Recent Tasks”(近期任务)中查看进度

 

可以在屏幕底部的“Recent Tasks”(近期任务)窗格中查看操作进度。

请注意,如果未显示“Recent Tasks”(近期任务)窗格,您可能需要单击屏幕右侧的“Recent Tasks”(近期任务)以将其展开。

 

 

 

迁移完成

 

根本没有任何难度。在左侧导航窗格中,您现在可以看到“core-01a”虚拟机已移动至“vcsa-01b.corp.local”vCenter 中的“RegionB01-COMP01”集群。对于任何其他 vMotion,迁移将在不停机的情况下完成。通过在主机、集群、vCenter 和虚拟交换机之间通过 vMotion 迁移虚拟机,您能够比以往更加灵活地管理工作负载。

注意:如果您计划继续学习本实验室中的其他单元,请使用相同流程以通过 vMotion 将虚拟机迁移回区域 A vCenter。请使用以下信息帮助迁移:

 

 

结束语

在 vCenter 之间迁移虚拟机非常简单。借助跨 vCenter vMotion,管理员可以在位于同一或不同数据中心的 vCenter 之间轻松移动工作负载而无需停机。这可减少迁移和整合期间花费的时间。存储也将迁移,以允许在不同类型的存储之间进行迁移,无需进行存储复制和停机。网络必须在迁移两端可用,以避免虚拟机断开网络连接。这可通过第 2 层延伸或网络虚拟化来完成。

 

增强的 vMotion 功能


假设您的经理告诉您公司已经收购了竞争对手,他们希望在未来几个月内将所有虚拟机从收购公司的数据中心迁移到您公司的数据中心。规划此迁移需要了解哪些信息?您可以借助 vSphere 6.7 实现这一目标,方法是使用虚拟机级 EVC 将虚拟机从一个硬件平台迁移到另一个硬件平台。


 

虚拟机级 EVC

集群级 EVC 可确保集群中主机之间的 CPU 兼容性,以便您可以无缝迁移 EVC 集群中的虚拟机。在 vSphere 6.7 中,您还可以在虚拟机级别启用、禁用或更改 EVC 模式。虚拟机级 EVC 功能有助于将虚拟机迁移到集群之外,以及跨 vCenter Server 系统和具有不同处理器的数据中心迁移虚拟机。

虚拟机的 EVC 模式独立于集群级别定义的 EVC 模式。基于集群的 EVC 模式会限制主机向虚拟机公开的 CPU 功能。虚拟机级 EVC 模式则确定了虚拟机启动和迁移所需的主机 CPU 功能集。

默认情况下,当您启动新创建的虚拟机时,它会继承其父 EVC 集群或主机的功能集。但是,您可以单独更改每个虚拟机的 EVC 模式。您可以提升或降级虚拟机的 EVC 模式。降级 EVC 模式可提高虚拟机的 CPU 兼容性。您还可以使用 API 调用进一步自定义 EVC 模式。

 

 

基于集群的 EVC 和虚拟机级 EVC

EVC 功能在主机集群级别和虚拟机级别的工作方式之间存在一些差异。

 

VMware Cloud (VMC) on AWS


VMware Cloud on AWS 是由 AWS 和 VMware 共同开发的集成云产品,可提供高度可扩展的安全创新服务,允许组织将其基于 VMware vSphere 的本地环境无缝迁移和延展到在新一代 Amazon Elastic Compute Cloud (Amazon EC2) 裸机基础架构上运行的 AWS 云。VMware Cloud on AWS 非常适合希望将其基于 vSphere 的本地工作负载迁移到公有云、整合和扩展其数据中心容量以及优化、简化和现代化改造其灾难恢复解决方案的企业 IT 基础架构和运营组织。VMware Cloud on AWS 由 VMware 及其合作伙伴在全球范围内交付、销售以及提供支持,并在以下 AWS 区域提供:美国西部(俄勒冈)、美国东部(弗吉尼亚北部)、欧洲(伦敦)和欧洲(法兰克福)。

 

VMware Cloud on AWS 将广泛、多样和丰富的 AWS 服务创新原生应用于在 VMware 的计算、存储和网络虚拟化平台上运行的企业级应用。这使组织可以轻松快速地将新的创新技术添加到企业级应用中,方法是原生集成 AWS 基础架构和平台功能,比如 AWS Lambda、Amazon Simple Queue Service (SQS)、Amazon S3、Elastic Load Balancing、Amazon RDS、Amazon DynamoDB、Amazon Kinesis 和 Amazon Redshift,等等。

借助 VMware Cloud on AWS,组织可以简化其混合 IT 运维,方法是在本地数据中心和 AWS 云上使用相同的 VMware Cloud Foundation 技术(包括 vSphere、vSAN、NSX 和 vCenter Server),从而无需购买任何新的或自定义硬件、重写应用或修改运维模式。该服务会自动调配基础架构,并在本地环境和 AWS 云之间提供全面的虚拟机兼容性和工作负载移动性。借助 VMware Cloud on AWS,您可以利用 AWS 的广泛服务,包括计算、数据库、分析、物联网 (IoT)、安全性、移动、部署、应用服务,等等。


 

纳管 VMware Cloud on AWS

加入 VMware Cloud on AWS (VMC) 服务与部署 vCenter 或其他 VMware 产品不同。由于 VMC 是由 VMware 运维的代管服务,您需要纳管服务并创建我们所说的组织,这是 VMC 中的关键租户构造。

我们在下面的视频中完整展示了这一过程。

 
 

 

 

从本地迁移到 VMC on AWS - NSX Hybrid Connect

 
 

 

结束语


混合云模式的主要优势是灵活性和自由度,不仅如此,它还打造了无缝体验,使得终端用户完全不用关心应用是在公有云还是在私有云中运行。IT 能够在任何地方部署和运行应用,而不会面临被局限于特定云提供商的 API 的风险,并且可以使用一系列一致的工具和技能组合按需访问基础架构。跨 vCenter vMotion、虚拟机级 EVC 增强的 vMotion 功能以及 VMware Cloud on AWS 均有助于提供顺畅的混合云体验。

 


 

您已完成第 5 单元的学习!

 

祝贺您!您已经完成了第 5 单元的学习!

要了解有关本单元中所介绍功能特性的更多信息,请使用以下链接:

继续学习以下您最感兴趣的任意单元。

 

 

 

如何结束实验

 

要结束实验,请单击“END”(结束)按钮。

 

总结

感谢您参加 VMware 动手练习。 请务必访问 http://hol.vmware.com/ 继续完成在线练习。

练习 SKU: HOL-1911-01-SDC

版本: 20181114-022507