Инструменты vCloud: Опыт ИТ-ГРАД



    Суть облачных сервисов заключается в том, что пользователю предоставляется выбор серверных мощностей, таких как процессор, память, количество места на диске, тип сетевого адаптера и другие. Сами же облачные вычисления можно разделить на три уровня, а именно:

    • Infrastructure as a Service (IaaS);
    • Platform as a Service (PaaS);
    • Software as a Service (SaaS).

    За предоставление Инфраструктуры как сервиса (IaaS) отвечает семейство vCloud. Двумя основными компонентами vCloud являются VMware vSphere и vCloud Director. VMware vSphere – это сама платформа виртуализации, на которой развертываются сервисы облачной инфраструктуры, а vCloud Director – центр управления облачной инфраструктурой, с помощью которого администратор этими сервисами управляет.

    С помощью продукта VMware vCloud Director можно создавать виртуальные машины и управлять ими, осуществлять их миграцию из другого облака, гибко управлять правами доступа к пулу виртуальных ресурсов, создавать VPN-соединения, настраивать балансировку нагрузки между виртуальными машинами и многое другое.

    Однако зачастую компания-заказчик, переводя свою ИТ-инфраструктуру в облако, получает к имеющейся функциональности ряд инструментов, о существовании и функционале которых знает не всегда. Примером может выступать VMware vShield Edge, входящий в состав VMware vCloud Director.

    Для начала стоит отметить, что VMware vShield Edge является неотъемлемой составляющей любой облачной инфраструктуры, построенной на VMware vCloud. Являясь продуктом для обеспечения безопасности, vShield Edge выполняет функцию сетевого шлюза. В зависимости от настраиваемых политик, vShield Edge может разрешать или запрещать определенные подключения, контролировать сессии VPN, выполнять сетевую трансляцию адресов, инспектировать данные по источникам или портам назначения, а также выполнять балансировку нагрузки.

    Иными словами, VMware vShield Edge позволяет настраивать такие сервисы, как Stateful Firewall, VPN, DHCP, NAT, Web Load Balancing и др. К примеру, вот одна из реальных ситуаций: нужно объединить несколько удаленных сайтов в единую маршрутизируемую сеть. Для этого необходимо настроить VPN-туннель, а в этом как раз поможет VMware vShield Edge.

    Сценарий следующий: компании клиента необходим доступ к виртуальным машинам в облаке «ИТ-ГРАД» посредством Site-to-Site VPN. У каждого сайта имеется сервер VMware EDGE с прямым доступом в Интернет.



    Сайт А – компания клиента: использует подсеть 10.64.20.0/24.
    Сайт B – площадка компании ИТ-ГРАД: подсеть 172.16.16.0/24.

    Чтобы поднять туннель, воспользуемся веб-консолью vCloud Director, доступной при подключении к облаку IaaS-провайдера. В настройках активируем VPN, задаем имя туннеля и его описание. Затем указываем вариант подключения к сети (в нашем случае – удаленная), задаем подсети, до которых нужно организовать туннель, и прописываем IP-адреса интерфейсов EDGE.

    Немаловажным пунктом при настройке Site-to-Site VPN является выбор протокола шифрования. Напомним, что для обеспечения безопасного взаимодействия в частных виртуальных сетях используется набор протоколов IPSec.

    IPSec позволяет проводить аутентификацию и обеспечивает проверку целостности и шифрование IP-пакетов. Входящий в него протокол IKE является связующим звеном, объединяющим все компоненты IPSec в единую систему, и реализует первоначальную аутентификацию сторон и обмен их общими ключами.

    Установка и поддержка VPN-туннеля происходит в два этапа (в две фазы работы IKE). Сначала IKE создает безопасный канал между двумя узлами, который называется IKE Security Association (IKE SA), и начинается первая фаза.

    Здесь IKE работает в основном режиме – это три двусторонних обмена между отправителем и получателем. Во время первого обмена согласуются алгоритмы шифрования и функции хэширования путем сопоставления IKE SA каждого узла. Во время второго обмена используется алгоритм Деффи – Хеллмана, когда стороны передают друг другу общий секретный ключ.

    Также на этом этапе узлы проверяют друг друга путем передачи и подтверждения последовательности псевдослучайных чисел. Во время третьего обмена по зашифрованному IP-адресу проверяется идентичность противоположной стороны.

    Затем начинается вторая фаза, во время которой генерируются данные ключей, и узлы договариваются насчет используемой политики. Данный режим устанавливается только после первого этапа, когда все пакеты второй фазы шифруются. Если вторая фаза завершилась корректно, можно считать, что туннель установлен.

    Это лишь одна из дополнительных возможностей VMware vShield Edge. Помимо этого, vShield Edge дает «поднять» программный брандмауэр, который, как и любой другой, проверяет трафик и, в зависимости от заданных параметров в соответствующих правилах, блокирует либо разрешает его передачу. Порядок применения правил может быть изменен путем простого перетаскивания соответствующего правила мышкой в консоли vCloud Director.

    В vShield Edge также интегрирована функциональность протокола динамической конфигурации узлов. Он позволяет автоматизировать механизм назначения IP-адресов виртуальным машинам, подключенным к сетям виртуальной организации. Конфигурировать и управлять диапазонами IP-адресов можно прямо через консоль vCloud Director.

    Еще стоит отметить службу DHCP, которая серьезно упрощает процесс назначения IP-адресов и минимизирует административные издержки и ошибки. В консоли DHCP существует возможность создания так называемого пула адресов, который представляет собой контейнер c хранящимися в нем IP-адресами для выдачи виртуальным машинам.

    IP-адреса выдаются на определенный срок: в настройках vShield Edge есть два параметра: время аренды по умолчанию, равное 3600 секундам, и максимальное время, равное по умолчанию 7200 секундам. Если IP-адрес был выдан в аренду виртуальной машине, он считается занятым и не может быть назначен другому узлу до тех пор, пока срок аренды не истечет.

    Все эти функции управляются из единой консоли vCloud Director. Подробные гайды по настройке Site-to-Site IPsec VPN, Firewall, NAT, DHCP, статической маршрутизации и балансировке сетевой нагрузки вы можете найти в нашем блоге.

    Еще одним полезным продуктом VMware является VMware vSphere Power CLI – этот инструмент автоматизирует рутинные задачи администратора при работе с серверами ESX и виртуальными машинами. Примеров использования Power CLI великое множество: от поиска пользователя, который удалил виртуальную машину, до полноценных программ диагностики виртуальной инфраструктуры VMware vSphere. Например, с его помощью можно отследить проблемы производительности процессоров.

    Одним из важных параметров производительности является интенсивность потребления процессорных ресурсов. Допустим, в окружении vSphere используется слишком большое количество виртуальных машин с запущенными на них высоконагруженными приложениями – все это может привести к недостаточности процессорных ресурсов. Иногда причиной подобной нехватки становится и другой момент, связанный, к примеру, с неэффективным использованием или неоптимальной конфигурацией виртуальных машин.

    Так и так, нехватка ресурсов CPU ведет к серьёзным проблемам с производительностью и сказывается на работе важных для бизнеса сервисов. Например, высокий показатель Co-stoptime указывает на наличие большего количества vCPU, чем необходимо, а это зачастую вызывает дополнительное расходование ресурсов и снижает производительность виртуальной машины.

    Параметр Guest CPU Saturation указывает на загрузку процессора виртуальной машины: если приложение виртуальной машины использует 90% и более ресурсов CPU, наблюдается проблема с производительностью. Эти и многие другие параметры VMware vSphere Power CLI позволяет отследить.

    При расследовании проблем производительности CPU стоит обратить внимание на следующие счетчики:

    • Demand – количество CPU виртуальной машины, требуемых для работы.
    • Ready – показатель времени, в течение которого виртуальная машина готова запуститься, но не может из-за недостатка физических ресурсов.
    • Usage – количество процессоров виртуальной машины, разрешенных для использования в текущий момент.



    На изображении выше видно, сколько ресурсов CPU требуется для работы виртуальной машины и сколько в действительности используется. В этом конкретном случае требуется (Demand) значительно больше, чем используется (Use).

    Также обратите внимание на показатель Ready Time, равный 9977 мс – это еще один показатель, на который стоит обратить внимание при поиске проблем с производительностью. Если это значение оказывается больше 10%, то высока вероятность возникновения проблем с производительностью. Для перевода значения из миллисекунд в проценты можно воспользоваться следующей формулой:



    Важно помнить, что настройка виртуальных машин с большим количеством виртуальных CPU может привести к увеличению использования ресурсов, потенциально влияющих на производительность сильно загруженных систем. И даже если гостевая операционная система не использует все выделенные виртуальные процессоры, такая машина будет расходовать ресурсы хоста на физическом уровне. Подробное руководство по мониторингу показателей процессора, вы можете найти в нашем корпоративном блоге (1, 2).

    В рамках этой статьи хотелось бы затронуть еще один инструмент, имеющий (хоть и косвенное) отношение к vCloud Director. Речь идет о Veeam Backup. С его помощью администратор может делать резервные копии метаданных и атрибутов виртуальных сервисов и восстанавливать виртуальные сервисы и виртуальные машины прямо в vCD.

    Тема резервного копирования была, есть и будет актуальной во все времена. С каждым годом объем данных, хранящихся как на физических, так и на облачных площадках различных компаний, постоянно увеличивается, а это кардинально меняет облик рынок систем резервного копирования.

    Veeam Cloud Connect предлагает быстрый и надежный способ переноса резервных копий на удаленные облачные площадки, а также восстановление данных. Это решение подчиняется так называемому правилу «3-2-1», согласно которому для обеспечения надежного хранения данных необходимо соблюдение этих условий:

    • Иметь три резервные копии;
    • Использовать два типа носителей для хранения;
    • Хранить один экземпляр удаленно.

    Технология Veeam Cloud Connect позволяет обеспечивать надежное хранение резервных копий на удаленных площадках поставщиков облачных услуг, комплексный контроль с гарантированной возможностью восстановления данных, хранящихся на удаленных площадках, непосредственно из консоли резервного копирования, возможность использования заданий архивирования резервных копий с помощью встроенной акселерации WAN и политик долгосрочного хранения.

    Чтобы начать пользоваться благами Veeam Cloud Connect, сперва нужно определиться с провайдером облачных услуг Veeam, чья площадка будет использоваться как надежное хранилище резервных копий виртуальных машин – такие провайдеры обладают компетенцией Veeam Cloud Provider (VCP). При этом любому заказчику, сделавшему выбор в пользу резервного копирования в облако, потребуется подписка на услуги от облачного провайдера.

    Вторым этапом становится развертывание на стороне клиента продукта Veeam Backup & Replication, планирование и конфигурирование инфраструктур, выбор и подключение к удаленным площадкам облачных поставщиков Veeam и так далее. Весь процесс в подробностях вы можете увидеть, опять же, в нашем блоге.
    ИТ-ГРАД 207,71
    vmware iaas provider
    Поделиться публикацией
    Комментарии 1
    • 0
      В статье описан не опыт, а лоскутное одеяло. Вроде все и закрывает, но ни структуры в статье, ни плавных и логичных переходов между темами нет.
      Про Power CLI все говорят, что библиотека обширна, а по факту нарыть рабочее из коробки решение почти не реально, по крайней мере на официальных форумах. Даже в родных библиотеках из течнета по Powershell реализаций по выгрузке отчетов из vCenter, пересчитать по пальцам, выгрузка кастомных атрибутов не встречается вовсе, а те которые нашлись работают столь медленно, что о оперативной выгрузке отчетов, на кластерах в которых больше 200 машин вертится, говорить не приходится.

      Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

      Самое читаемое