本節書摘來自華章出版社《vmware vsphere設計(原書第2版)》一 書中的第2章,第2.6節,作者:[美] 福布斯·格思裡(forbes guthrie)斯科特·羅威(scott lowe)肯德裡克·科爾曼(kendrick coleman),更多章節内容可以通路雲栖社群“華章計算機”公衆号檢視。
從設計角度看,很多host的配置都很重要。你可以将這些配置包含到腳本安裝中的安裝後環節。使用一個獨立的vma或powershell腳本,通過host profile将這些配置推送出去,或者手動配置它們。但是你應該設定它們,因為沒有這些host設計是不完整的。
esxi伺服器部署時,你應該考慮如下安裝任務:
主機名和ip尋址 在互動式esxi安裝過程中,是沒有設定主機名和ip位址的。如果你用的是auto deploy,那麼這些資訊都會在配置過程中提供。你可以在dhcp中配置網絡設定,或者指定靜态ip位址。已在dns上注冊主機名的esxi host最好使用靜态ip位址,因為它的很多功能都依賴于域名解析和可信賴的ip連接配接。手動安裝後,登入到dcui然後設定靜态ip位址、預設網關、子網路遮罩,如果是trunk連接配接的話,還要指定vlan id。設定dns伺服器和fqsn(全域名,fully qualified domain name),然後選擇test management network 選項。然而,你可能更傾向于使用dhcp通過max位址為伺服器配置設定ip位址。但是,使用動态ip位址配置設定的方式的方法不值得推薦,因為host的ip位址會不斷改變 。
網絡配置 安裝後,你需要為vmotion、ft日志、nfs或軟體iscsi,以及虛拟機端口組等連接配接配置host網絡。第5章将詳細介紹主機的網絡設計。
ntp 你應該配置esxi host,使其指向一個權威的時間資源或ntp(network time protocol)伺服器。vmkernel的很多方面都依賴于準确的時間,比如日志生成、性能圖生成、ad校驗等,而且虛拟機還可以通過vmware工具使用這個時間來實作時間同步。
主機證書 所有的esxi 5 主機都有一個基于自身全域名的唯一的證書。這是一個替代預設證書的好的安全實踐。這些證書可以確定host 和vcenter互相信任并加密互相間的通信。替換預設證書的最佳時機就是在将host加入到vcenter前,因為如果後面再做的話,更新證書的時候可能無法通路所有的host。每個esxi host證書(也包括所有的vsphere 5 證書)是一個x.509 v3 base 64位編碼的ssl證書。
連接配接到vcenter 如果vcenter有授權的話,你可以把host加入到資料中心、檔案夾或者叢集。連接配接esxi host和vcenter會自動建立一個本地vpxuser使用者,同時激活vmware-vpxa程序。根據vcenter位置和設定的不同,其他軟體,如ha的fdm程序也會在這個時候自動配置。
授權 每個esxi host都需要一個有效的授權碼。在沒有授權碼的情況下,host會以評估模式運作60天,之後就必須得申請授權碼了。通常,vcenter用來集中管理授權碼,當host加入到vcenter時,就可以申請授權。但是如果vcenter不可用,你還可以通過vsphere用戶端直接申請授權碼。伺服器使用多個實體socket給host授權。如果沒有授權,60天後host會降到上一章介紹過的受限的vsphere hypervisor級别。
打更新檔 部署完esxi host後,将伺服器投入生産環境正式上線之前,應該檢查并確定所有最新的更新檔都安裝了。可以使用vum或esxi shell來打更新檔。
存儲 安裝後,你還需要配置host的存儲和連接配接。詳情請參見第6章的主機存儲設計。
scratch分區 正如本章所介紹的,有幾個場景都沒有建立scratch分區,而且scratch目錄是儲存在不穩定的ramdisk上的。你需要檢查host的配置并采取必要的補救措施。主要的方法就是在vmfs卷上建立共享的scratch目錄,然後将所有的host都指向它。可以在每個host的進階配置scratchconfig.configuredscratchlocation中設定這些資訊。
轉儲收集器 有狀态安裝中,vmkdiagnostic分區是用來存儲host異常崩潰時核心記憶體的轉儲資訊的。如果想集中存儲這些資訊用于後續調試,特别是無法保留轉儲資訊的無狀态host,你可以通過vcenter伺服器的安裝媒體在windows伺服器上安裝轉儲收集器服務。此外,vcsa中也有轉儲收集器服務。
如果vsphere 5.0的host使用的是vds,那麼導出轉儲資訊時會出錯。這會很麻煩,因為auto deploy部署的host通常都是連接配接到vds的交換機,而且需要将轉儲資訊存到其他地方。vsphere 5.1修複了這個問題,如果你要使用auto deploy,這是另一個你要選擇5.1的原因。
你可以通過如下方法在host中啟用轉儲收集器服務:在host profile中選擇config-uration→network coredump settings→fixed network coredump policy。
共享的vmware工具目錄 當用auto deploy部署esxi時,通常我們會使用沒有vmware tool的簡化版鏡像。如果這樣的話,建立集中的vmware 工具目錄就很重要了,host可以通路該目錄,并重新配置host。
建立共享目錄和配置host的簡要步驟如下:
将安裝了vmware工具的esxi伺服器上的/productlocker中的内容拷貝到共享資料存儲中的适當建立的檔案夾中,且所有host都可以通路這個檔案夾。
将host profile中的uservars.productlockerlocation屬性設定為point to the shared 資料存儲 folder。
重新開機伺服器使新的host profile設定生效。
esxi 5.0 ga 和共享的vmware工具目錄
esxi 5.0 ga使用共享vmware工具目錄有一個缺陷。請確定你使用的至少是5.0 update1 版本,以避免這個缺陷。
snmp硬體監控 除了cim無代理監控外,esxi還可以使用snmp發送關于伺服器硬體和虛拟機的監控trap。vsphere 5.0在hostd服務中嵌入了snmp代理,但在5.1中已經進行了去耦合處理,是以snmp代理已經是一個獨立的程序。vsphere 5.1還将snmp更新到了v3(5.0使用的是snmp v2),這樣就提高了安全性。要在host中啟用snmp監控,需要使用esxcli system snmp指令(在5.0中,需使用vicfg-snmp)。
本地使用者許可 本地使用者許可有多個選項。你可以通過vcenter伺服器為大多數使用者配置設定權限,還可以建立本地使用者。如果沒有vcenter的通路權限,本地使用者還是很重要的。每個host都要配置本地使用者,還要像vcenter的角色那樣通過給使用者賦予角色來配置設定不同等級的通路和控制權限。如果使用者想通過vsphere 用戶端、dcui、或esxi shell直接連接配接host,那麼本地host的通路就很重要。vsphere 5.1中,使用esxi shell時已經不需要用root使用者了。被賦予管理者角色的本地使用者對shell有完全使用權限。這意味着所有session都可以根據本地使用者來記錄日志并稽核。vsphere 5.1還可以在每個host上使用host profile來建立本地使用者并賦予權限。
活動目錄校驗 繼承ad校驗為管理esxihost的本地通路提供了一個安全且友善的方式。使用ad校驗的前提是将host加入到ad,并且使用者群組被賦予了相應的權限。預設的ad組使esx 管理使用者可以簡化流程,因為這個組已經自動添加到每個host中,且被賦予完全管理者權限。
為了限制通路,你可能還想建立特别的ad組,僅提供到某些host的指定級别的通路權限。通過host中的進階設計還能設定組織esx admin組來擷取完全管理權限:: config.hostagent.plugins.hostsvc.esxadminsgroupautoadd。
如果使用auto deploy 部署host,一個叫as校驗代理的小工具可以避免在host profile中儲存域管理者的使用者名和密碼。這個校驗代理工具在vcsa或vcenter iso鏡像中的windows可安裝應用上可以随時拿來使用。
鎖定模式 鎖定模式是一個vcenter特性,通過強制使所有互動都通過vcenter增強了esxi host的安全性。它禁用除vcenter的vpxuser使用者外的所有使用者的遠端通路。這意味着它可以充分利用vcenter的集中角色和權限讓vcenter來審計所有遠端範文。root使用者通過dcui界面仍可以在本地通路esxi host。
鎖定模式不會禁用本地esxi shell或遠端esxi shell 服務,但是它會阻止任何使用者(包括root)的通路,因為校驗權限被鎖定了。
你隻能在連接配接了vcenter的host上啟用鎖定模式。預設是禁用的,但可以通過vsphere用戶端或dcui來啟用。vsphere用戶端上的鎖定模式界面如圖2-4所示。表2-2顯示了鎖定模式是如何影響host的遠端通路方法的。
每個host上使用cim broker的第三方監控軟體也會受到鎖定模式的影響。cim使用者肯定會直接連接配接到host來擷取硬體資訊,但是在鎖定模式下還必須從vcenter去擷取校驗ticket,這樣才能允許使用vpxuser的鑒權資訊從hostcim接口收集詳細資訊。
鎖定模式是可逆的,可以挨個host禁用掉。雖然鎖定模式預設是禁用的,但是在整個企業範圍内啟用它還是很值得的。如果需要遠端通路host,那麼可以在執行本地管理任務時臨時禁用鎖定模式,完成後再啟用它。然而,通過dcui啟用鎖定模式會導緻本地使用者群組的權限丢失。為了保留本地權限,請通過vcenter來啟用鎖定模式。
對于每個安全設定,請再執行一步完全鎖定模式。通過啟用這個模式可以同時啟用鎖定模式并禁用dcui。這個操作隻能通過vcenter執行,禁止任何人通過root使用者在本地用dcui禁用鎖定模式。但是如果禁用了dcui,那麼當vcenter發生故障時,就不能再恢複預設狀态了。要想以管理者權限通路host,唯一的方法就是重裝esxi。
安全profile 通過安全profile可以配置esxi的内部防火牆以保護管理網絡端口。預設情況下,除了關鍵服務使用的端口外,其他端口都是禁用的。
在esxi host上,你可以啟用或禁用對指定遠端服務的通路,如圖2-4所示。但是隻能設定列出的程序是啟動還是停止,以及它們的運作級别。在web用戶端上已經列出來了最常用的服務,但是其他端口還需要額外添加作為正常的防火牆規則。你還可以通過ip位址或子網來限制通路。除了使用web用戶端,還可以通過powercli、esxcli以及host profile來調整安全profile。
防火牆端口 最終,如果host和其他基礎設施裝置是被防火牆隔離的,那麼你還需要開啟一些端口。不要将其與剛才介紹的esxi本地安全profile防火牆機制混淆。主要端口如表2-3所示,其他端口還包括88/389/445/464/1024 ad、161/162 snmp, 445 smb、514/8001 syslog、11/2049 nfs、 3260 iscsi、6500/8000 dump collector、6501/6502 auto deploy、 8100/8200 ft和8182 ha。