本節書摘來自華章出版社《vmware vcat權威指南:成功建構雲環境的核心技術和方法》一書中的第3章,第3.4節,作(美)vmware vcat 團隊,更多章節内容可以通路雲栖社群“華章計算機”公衆号檢視
資源組(見圖3.6)是一組專用于最終使用者工作負載、由單個vcenter server管理的資源。vcloud director管理所有附屬的資源組vcenter server執行個體的資源。所有配置任務通過vcloud director初始化,并且下傳到相應的vcenter server執行個體。
在标準化分組中配置資源為vcloud環境伸縮提供了一緻的方法。建議用一個單獨的vcenter server執行個體管理雲資源組。至少,如果你使用單個vcenter server管理管理元件和雲資源組,将所有vcloud資源工作負載放在一個單獨的群集中。
不要使用vsphere client對資源組對象進行更改。使用vsphere client改變vcloud director建立的對象的狀态會引發不可預測的副作用,因為這些對象屬于vcloud director。
按照vsphere設計原則配置資源組vsphere主機。正确地啟用vsphere ha可以防止主機和虛拟機故障。
在vsphere 5中,向基于fault domain manager(fdm,故障域管理器)的ha轉移對于vcloud director是透明的。ha/drs群集中的總主機數量仍然為32,是以vcloud環境的群集規格原則沒有改變。fdm要求用單個首選主機(master host)代替傳統ha的5個主節點。如果首選主機失效,剩餘的從機選擇一個新的首選主機。
為快速置備(連結克隆)和vmfs資料存儲限制每個群集8台主機不适用于vsphere 5.1所支援的資源組。vmfs5資料存儲上的快速置備支援最多32台主機。
提供者虛拟資料中心提供一種服務傳遞。在建構群集時,将類似的伺服器組合到一起(根據主機數量、核心數量、記憶體數量和cpu類型),通過容量或者性能支援計算資源的差别化。
無狀态的esxi
無狀态(stateless)esxi指的是完全在記憶體中(沒有任何本地持久化資料)運作一台主機上的vmware esxitm軟體。主機狀态的集中管理使得大的類似主機群組上的一緻配置以及vsphere主機的快速置備成為可能。這有助于在大規模的vcloud環境中改進營運效率。
無狀态esxi需要vmware vsphere auto deploytm(vmware vsphere自動部署),這是一種在pxe啟動的主機上應用映像配置檔案和主機配置檔案的部署伺服器。vsphere auto deploy在單獨主機或者vcenter server執行個體上安裝,預設安裝在vcenter server虛拟裝置上。vmware vsphere powerclitm在vcenter和vsphere auto deploy都能通路的位置安裝。主機配置檔案對于無狀态環境是不可或缺的,因為伺服器的每次重新開機都會清除本地主機配置資料。
為所有無狀态vsphere主機配置dhcp。dhcp伺服器需要更改配置,将vsphere主機引導到一台tftp伺服器。該伺服器可以是單獨的dhcp伺服器,也可以是組織的dhcp伺服器。vcenter server虛拟裝置包含了dhcp和tftp服務。
識别用于vcloud主機的映像配置檔案,這可能是存儲在公共庫中的配置檔案,也可能是本地存儲的一個壓縮檔案。如果使用主機配置檔案,在vsphere auto deploy能夠通路的位置儲存主機配置檔案的副本,并用vmware vsphere? esxitm image builder cli向規則引擎添加規則。
圖3.7說明了第一次啟動期間的自動部署步驟。
vcloud director可以管理有狀态或者無狀态的vsphere主機。如果你選擇無狀态選項,将vcloud director vsphere installation bundle(vsphere安裝包,vib)(包含代理)添加到映像配置檔案。vcloud director vib在主機啟動時自動加載。為了無狀态主機準備和取消準備,vcloud director用帶有相關應答檔案的一個主機配置檔案配置該代理。
如果主機重新開機,相應的映像配置檔案在主機開始備份的時候重新加載。vcloud director檢測狀态變化,并再次向主機推送配置。
如果使用無狀态模式,避免建立需要主機特定配置的設計。将準備好的有狀态主機轉換為無狀态主機時,要在轉換之前取消主機的準備。
對于vcloud資源組,在配置網絡時應該記住vsphere設計原則。将每台主機vsphere分布式交換機端口增加為最大值4096,以增大vcloud director可以為vcloud網絡動态建立的端口組規模。關于增加該值的更多資訊,參見vmware vsphere文檔中的《vcenter server and host management guide》(vcenter server和主機管理指南,www.vmware.com/support/pubs/vsphere-esxi-vcenter-server-pubs.html)。
将所有實體網絡裝置和傳輸網絡中的vsphere分布式交換機的最大傳輸單元(maximum transmission unit,mtu)大小增加到1600,以支援vxlan或者vcloud director網絡隔離。如果沒有增加mtu大小,會導緻包碎片,對最終使用者的工作負載吞吐量造成負面影響。
3.5小節介紹vcloud網絡考慮因素。
vcloud director提供如下控制,防止消費者誤用資源:
運作中和存儲的虛拟機限額确定組織中的每個使用者可以存儲的虛拟機數量,以及組織虛拟資料中心内可以開啟的虛拟機數量。這個限額作為所有添加到該組織的新使用者的預設值。
對資源密集操作的限制避免消費者影響組織中的所有使用者,并提供對拒絕服務攻擊的防禦。
因為性能或者安全性的理由限制并發vmrc連接配接數量。
網際網路協定第6版(ipv6)是ip編址的最新版本,設計用于接替ipv4作為網際網路的标準協定。遷移到ipv6的關鍵驅動力之一是支援更大的位址空間(有264個位址,而ipv4隻有232個)。
支援ipv6需要下列vcloud director元件:
靜态ip池
dhcp伺服器
靜态ip配置設定
nat規則
防火牆規則
支援ipv6需要下列vsphere基礎架構元件:
vcenter server
esxi
vswitches(标準和分布式)
vmkernel
vsphere vmotion
虛拟機(可用于windows和linux的客戶機作業系統定制)
vsphere虛拟機支援ipv6編址,可以用如下元件配置:
靜态ipv6位址
用來自路由器的字首通告進行自動配置
來自dhcp6伺服器的dhcp
用于内部通信的本地網絡位址
vcloud networking and security edge目前不支援ipv6。vcloud director用ipv6管理的虛拟機隻能與不處于vcloud networking and security edge裝置之後的端點通信。在同一個直接連接配接的vapp或者組織虛拟資料中心網絡上通信的虛拟機可以使用ipv6。要使用ipv6與外界通信,可以将組織的虛拟機連接配接到一個直連的外部組織虛拟資料中心網絡。
許多目标目前不支援ipv6,是以要在ipv4和ipv6的雙重協定棧中操作虛拟機。
如果底層的實體基礎架構不支援ipv6,另一個選擇是用路由器建立6-to-4隧道,提供到ipv6 vcloud的連接配接。在一個具有純ipv6接口和ipv4接口的中繼路由器上終止隧道,在兩個環境之間移動流量。
對于單元網絡接口,vcloud director不支援ipv6編址。
虛拟可擴充lan(virtual extensible lan,vxlan)是ietf提出的一種協定,使用封裝機制,在3層網絡上啟用一個2層覆寫。vxlan支援不同網絡上的彈性虛拟資料中心。
vxlan設計用于在現有網絡上進行無縫部署,對實體網絡的更改很少。vxlan要求在用于多點傳播(multicast)路由的實體交換機和pim上啟用igmp(v1,v2和v3)snooping,在實體網絡基礎架構上部署ip多點傳播。
vcloud networking and security edge是一種虛拟防火牆路由器,提供支援多租戶所需的邊界安全。vcloud networking and security edge裝置在從vcloud director中建立路由或者隔離的組織或者vapp網絡時自動部署。對于vapp網絡,vcloud networking and security edge裝置動态根據vapp的電源狀态自動部署和取消部署。
包含在vcloud director中的vcloud networking and security edge許可證不包含sslvpn和負載平衡等功能,這些功能包含在完全授權的vcloud networking and security advanced edition中。
vcloud networking and security app是一個基于虛拟化管理器的vnic級别應用程式防火牆,控制和監控虛拟資料中心内虛拟機之間的流量。防火牆政策可以應用到vcenter安全組——通過vcloud networking and security manager ui建立的自定義容器。容器政策允許建立混合的信任區群集,不需要附加的實體防火牆。vcloud networking and security app還支援經典的五元防火牆規則。
vmware vshield endpoint将防病毒功能轉移到由trend micro等合作夥伴提供的加強安全虛拟機上。vshield endpoint使用vmware端點安全性(endpoint security, epsec)api通路檔案系統,以掃描和清除病毒。這就消除了在客戶機作業系統設定代理的需求,避免在掃描或者防病毒軟體更新活動中消耗cpu周期而引起的防病毒風暴。防病毒功能減負提供了增強的安全性,因為惡意軟體攻擊往往從禁用防病毒代理開始。高效的vshield endpoint防病毒架構為大規模的vcloud環境提供了服務形式的防病毒功能。
vcloud networking and security data securitytm提供了組織虛拟化和vcloud環境中存儲的敏感資料的可見性。vcloud networking and security data security提供的違規資料能夠提供保護敏感資料和實作規章合規性所需的資訊。
目前,vcloud director 5.1沒有內建vcloud networking and security app、vcloud networking and security data security或者vshield endpoint。結合使用這些功能和vcloud director需要精心設計vcloud基礎架構。
為vcloud設計存儲資源不同于傳統的vsphere方法。vmware vsphere storage drstm和存儲配置檔案等平台特性有助于在存儲資源中平衡工作負載,使提供者能夠提供差别化的存儲。這能夠配置靈活的存儲資源池,同時為最終使用者保持一緻性的性能。使用者可以為特定的工作負載類型選擇合适的存儲層。
在設計存儲資源時,vmware建議進行如下工作:
進行一次存儲使用情況和趨勢的目前狀态分析。
定義需要的存儲sla範圍和合适的定價模型。
在vsphere中根據sla、工作負載和成本,建立多個存儲配置檔案。
将存儲配置檔案映射到提供者虛拟資料中心。
選擇提供者虛拟資料中心提供的存儲配置檔案的一個子集,應用到組織虛拟資料中心。
設計最優化的可用性(從vsphere主機到存儲架構的備援路徑)。
部署子產品化和可伸縮的實體存儲。
用容量分析工具監控存儲使用情況和趨勢。
使用存儲性能工具調整vapp存儲工作負載。
vcloud director使用存儲配置檔案支援在一個虛拟資料中心的分層存儲。按照vsphere設計原則在資源組中配置共享存儲和存儲配置檔案。
資料存儲規格考慮因素包括容量和性能。
資料存儲容量考慮因素:
根據實體存儲和vcloud工作負載預期,資料存儲的最優化尺寸是多大?
平均vapp尺寸×vapp數量×空閑容量是多大?例如,平均虛拟機尺寸×虛拟機數量×(1+%淨空比)。
平均虛拟機磁盤尺寸是多大?
平均情況下,一個vapp中有多少個虛拟機?
虛拟機預期數量是多少?
擴張所需的保留白閑容量是多少?
預期的工作負載是臨時性還是靜态的?
是否使用快速置備?
資料存儲性能考慮因素:
預期的工作負載是不是磁盤密集型的?
相關群集的性能特性如何?
vcloud director不支援原始裝置映射(rdm)。
vcloud director 5.1中的存儲分層通過存儲配置檔案在虛拟機層次上實作:
存儲配置檔案的編寫、改名和删除通過vsphere進行。
存儲配置檔案可以在提供者虛拟資料中心級别上添加、禁用或者删除。
被選擇的群集中的所有可用存儲配置檔案在提供者虛拟資料中心建立時列出。
組織虛拟資料中心存儲配置檔案基于由提供者虛拟資料中心提供的存儲配置檔案的一個子集。
每個組織虛拟資料中心都有相關的預設存儲配置檔案。
所有虛拟機都有相關的存儲配置檔案,預設使用組織虛拟資料中心存儲配置檔案。
虛拟機的放置基于存儲配置檔案。
支援存儲配置檔案的其他實體包括:
模闆
媒體
獨立磁盤
ovf存儲配置檔案支援:
vsphere在将虛拟機導出為ovf時不支援導出存儲配置檔案關聯。
vcloud director模闆下載下傳導出一個模闆虛拟機的預設執行個體化配置檔案。
vcloud director模闆上傳應用ovf規定的模闆虛拟機預設執行個體化配置檔案。
獨立于虛拟機的磁盤有這些特性:
與組織虛拟資料中心存儲配置檔案相關
允許選擇資料存儲放置存儲配置檔案的磁盤賬戶
可以更改存儲配置檔案
允許使用與連接配接該磁盤的虛拟機不同的存儲配置檔案
下列vsphere更改影響vcloud director存儲配置檔案:
更改資料存儲标簽
删除存儲配置檔案
更改虛拟機存儲配置檔案關聯
虛拟機用vmware vsphere storage vmotion遷移到新的資料存儲
存儲配置檔案合規性檢查在如下情況進行:
通過rest api初始化時
在設定的時間間隔自動進行
在vcenter中删除組織虛拟資料中心使用的存儲配置檔案時
在虛拟機用vsphere storage vmotion遷移時
違反合規性會以系統警告的形式在虛拟機上顯示。
vsphere storage vmotion可以實時地在共享存儲位置上遷移虛拟機磁盤檔案。如果符合如下條件,vapp磁盤的重新定位可以使用vcloud api或者vsphere client進行:
目标資料存儲是與vapp相同的組織虛拟資料中心的一部分。
單獨虛拟機的所有虛拟磁盤都被遷移到同一個資料存儲。
使用vcloud api初始化vsphere storage vmotion,保留連結克隆狀态。
不要用vsphere client調用連結克隆的vsphere storage vmotion遷移,因為這樣做可能造成預想之外的效果,例如增量磁盤的膨脹。涉及資料存儲和主機的vsphere storage vmotion操作可能失敗。
通過儲存設備延時監控和資料存儲級别上實施的磁盤共享,存儲i/o控制(sioc)管理各個主機的存儲資源。在争用期間避免存儲資源的不平衡,能夠在高度統一的虛拟化環境中保護虛拟機的性能。
在群集中的所有資料存儲上啟用sioc,可以通過保持工作負載隔離/優先級和存儲i/o吞吐率之間的平衡,減少最惡劣情況下的裝置延遲。更多資訊,請參見存儲控制技術概述和部署考慮因素(www.vmware.com/files/pdf/techpaper/vmw-vsphere 4.1-sioc.pdf)。
sioc不支援原始裝置映射(rdm)或者具有多個盤區(extent)的資料存儲。如果你使用由具備自動存儲分層功能的陣列支援的資料存儲,就要驗證與sioc的相容性。
vsphere storage apis-array integration(vaai)是一組esxi和存儲陣列之間的協定接口。這些esxi擴充可以通過允許vsphere向支援的陣列傳遞存儲原語,實作基于存儲的硬體加速。
在vcloud環境中,源自配置任務的克隆和快照操作可能很快淹沒系統。vaai改進了繁重存儲操作期間存儲任務的執行時間、網絡流量使用率和主機cpu使用率。
對于基于塊存儲的系統,陣列內建擴充以基于t10 scsi指令的形式實作。支援t10 scsi标準的裝置不需要vaai插件來解除安裝存儲功能(如全拷貝、塊置零和加鎖)。
nas的硬體加速通過安裝供應商插件啟用。vaai nas插件由存儲供應商開發,vmware進行驗證。
vcloud director 5.1支援如下通過vaai內建進行的減負。
塊(fc,iscsi):全拷貝功能解除安裝到陣列上(esxi 4.1或者更高版本,使用在vmware相容性指南中列出的存儲陣列固件)。
nfs:全拷貝功能解除安裝到陣列上(esxi 5.0或者更高版本,使用安裝在esxi伺服器上的供應商vib(virtual infraseruceure bundle,虛拟基礎架構包))。
nfs:對于支援克隆功能的存儲陣列,連結克隆解除安裝到陣列上。
vsphere storage drs為具備vsphere storage drs功能的資料存儲群集中的資料存儲提供初始布局和持續平衡建議。資料存儲群集提供了資料存儲資源的聚合——類似于群集與主機的關系。
使用vsphere 5.1主機時,vcloud director 5.1支援vsphere storage drs。在vsphere 5.1中,vsphere storage drs還支援快速置備(連結克隆)。
vsphere storage drs持續地平衡存儲空間使用和存儲i/o負載,避免資源瓶頸,滿足服務水準,并提高存儲的可管理性。
vcloud director 5.1識别存儲群集。成員資料存儲陣列在vcloud director中可見,但是無法從vcloud director中修改。
vcloud director 5.1利用vsphere storage drs進行虛拟機的初始布局。
vcloud director使用vsphere storage drs管理空間使用率和i/o負載平衡。vsphere storage drs能夠幫助存儲單元(pod)中的虛拟機、媒體和虛拟機磁盤進行再平衡。
正如在vcloud director 1.x中那樣,貫穿vcloud director中配置設定的所有vsphere執行個體,vcloud director 5.1在資料存儲群集和獨立資料存儲之間确定最優的布局。
rest api有一種新的vim對象類型datastore_cluster。當vim對象類型為datastore_cluster時,資料存儲屬性現在包含資料存儲成員清單。
vsphere storage drs支援vcloud director中的快速置備。
vsphere storage drs隻支援vcloud director 5.1的連接配接克隆。
vcloud director 5.1不支援跨越資料存儲的連結克隆配置。
vsphere storage drs不建議從基本磁盤跨越到資料存儲的連結克隆。
vsphere storage drs将克隆遷移到一個包含影子虛拟機的資料存儲,并将克隆重新連結到現有的影子虛拟機。
連結克隆可以在vmfs3和vmfs5之間遷移,并在vsphere storage drs中得到支援。格式轉換自動在平台級别上處理。
遷移一個虛拟機的邏輯受到如下因素的影響:
移動的資料量
源資料存儲的空間減少量
目标資料存儲的附加空間量
連結克隆決策還取決于目标資料存儲是否有基本磁盤的一個拷貝,或者影子虛拟機是否必須執行個體化:
在一個資料存儲上放置沒有基本磁盤的連結克隆,會造成資料存儲上使用的空間更多,這與在已經存在的影子虛拟機上放置克隆相反。
在初始布局期間,vsphere storage drs選擇一個包含影子虛拟機的資料存儲,以便這種布局得到最大的空間節省。如果必要,初始布局建議可以包含從目标資料存儲中撤出現有虛拟機。
如果已經包含了基本或者影子虛拟機的資料存儲不可用,vcloud director制作一個完整的克隆,在所選的資料存儲中建立一個影子虛拟機,然後在所選的資料存儲中建立連結克隆。
vsphere storage drs中的最新模型在計算潛在移動影響時考慮了連結克隆共享。
連結克隆和沒有連結克隆的虛拟機可以共存于同一個資料存儲。
vcloud director不支援存儲單元的建立、删除和修改。這些任務必須在vsphere級别上執行。
vcloud director不支援成員資料存儲操作。
如果vsphere主機是vsphere 5.1之前的版本,用于vcloud director的資料存儲群集無法啟用vsphere storage drs。
3.4.4 vcloud資源規模的确定
vcloud資源規模的确定(resource sizing)取決于對應的服務定義。私有vcloud服務定義可能沒有明确地提出需要支援的工作負載數量。在這種情況下,以公共vcloud的初始規模作為參考。
對于公共vcloud,vcloud消費者資源的初始規模可能很難預測,因為缺乏預期消費者的資料點。提供者也不知道現有使用的vcloud工作負載的統計數字。
位于下一小節的規模确定示例來自第2章,有助于vcloud環境初始規模的确定。
聯系當地的vmware代表,擷取關于你的vcloud環境規模的詳細資訊。
服務定義說明,50%的虛拟機使用保留池模式,50%使用現收現付配置設定模式。模式應用到小、中和大資源池的比例分别為75%、20%和5%。是以,“小”代表環境中虛拟機總數的37.5%,“中”代表總數的10%,“大”代表總數的2.5%。
表3.4列出了各種虛拟資料中心的虛拟機數量。虛拟機總數1500反映了第2章中概述的公共vcloud服務定義規格。你可以修改這個總數,反映自己的目标虛拟機數量。
因為百分數的關系,有些虛拟機數量向上或者向下取整。
第2章還提出了在vcloud中的虛拟機分布,45%為小,35%為中,15%為大,5%為超大。表3.5顯示了cpu、記憶體、存儲和網絡的需求。
在确定最終規模之前,參考vmware設計指南,獲得常見的合并比例。表3.6顯示了使用現場部署中典型的合并比例得出的最終數量。
16台具備如下配置的主機可以支援必要的容量。
插槽數量:4
核心數量:6
超線程:支援
記憶體:144gb
網絡:雙10gige
這些計算沒有考慮消費者或者提供者模闆消耗的存儲,也沒有考慮vcloud networking and security edge設施消耗的資源。一個vcloud networking and security edge裝置支援所有私有組織虛拟資料中心網絡和外部路由的組織虛拟資料中心網絡。
下面是每個vcloud networking and security edge設施的規格。
cpu:1vcpu(緊湊),2vcpu(大)
記憶體:256mb(緊湊),1gb(大)
存儲:200mb(緊湊),256mb(大)
網絡:1gige(這已經計算在工作負載的吞吐率中,不應該再次計算)
vcloud基礎架構的可伸縮性反映了該平台在對可管理性、性能和可靠性的影響最低的情況下,管理不斷增加的vcloud消費者及工作負載的能力。從消費者的角度,可伸縮性指的是響應按需消費基礎架構資源的能力。
在設計vcloud規模時,要考慮vcloud平台以及底層vsphere平台的最大限值。vcloud director 5.1要求采用vsphere 5.1,并且進行了許多平台改進和增強。vcloud director還引入了一些可能影響伸縮性的特性,包括快速置備、擴充、sql server支援、第三方分布式交換機內建和uuid。
vcloud director web控制台最大限值是主要的限制條件,然後是vsphere平台最大限值。vcloud director資料庫平台的選擇(oracle或者sql server)可能造成很小的性能差異。
表3.7列出了10單元配置下的vcloud最大限值。