Das Ende von SD-Cards und USB als Boot Medium
vSphere 7 Update 3 ist die ultimative Update-Version von vSphere 7, was es zum besten vSphere aller Zeiten machen soll. Mit jedem Update gibt es Hunderte von Änderungen und Verbesserungen, um Funktionen hinzuzufügen, Probleme zu beheben, die Benutzererfahrung zu verbessern und die Kompatibilität zu erhöhen.
Ein Blick auf die Highlights!
vSphere mit Tanzu
Eine der größten Funktionen von vSphere 7 ist die Integration von Kubernetes, welches vSphere mit Tanzu genannt wird. Es ermöglicht Unternehmen, Container-basierte moderne Anwendungen auf einfache Weise zusätzlich zu ihrer bereits vorhandenen Infrastruktur auszuführen und zu unterstützen.
Jedes Update auf vSphere verbessert die Leistung und Effizienz, und es gibt eine neue Studie zur Effizienz von vSphere und vSphere mit Tanzu, die zeigt, dass es 6,3-mal mehr Workloads ausführen kann als andere Lösungen:
Eine der besten Neuerungen an vSphere mit Tanzu ist, dass es sich in bestehende Umgebungen einfügt. Um dies für mehr Netzwerke zu ermöglichen, wurde eine flexible DHCP-Unterstützung hinzugefügt. Wenn Sie DHCP wählen, können Sie automatisch IP-Adressen, DNS, NTP und andere Werte eingeben und bei Bedarf überschreiben. Es erleichtert die Konfiguration und Bereitstellung erheblich.
Dies funktioniert sowohl für das Management-Netzwerk als auch für das Workload-Netzwerk. Es geht auch nicht um Alles oder Nichts – Sie können Ihr Verwaltungsnetzwerk so einstellen, dass es statische Werte verwendet und Ihre Arbeitslast DHCP-Werte verwendet, wenn Sie dies wünschen.
In diesem Fall empfehlen wir die Verwendung von DHCP-Client-IDs mit DHCP-Reservierungen. Sie konfigurieren die Client-IDs in Tanzu und verwenden diese auf dem DHCP-Server, damit sich die Adressen auch dann nicht ändern, wenn sich die MAC-Adressen der Cluster-VMs ändern. Dies kann während eines Upgrades passieren, wenn neue Cluster-VMs bereitgestellt werden, um VMs der Vorgängerversion zu ersetzen.
Es gibt viele bewegliche Teile in einer Kubernetes-Umgebung, und obwohl ein Großteil dieser Komplexität automatisch erledigt wird, benötigt es manchmal immer noch Personen, die Anmeldeinformationen oder Adressen eingeben. Daher ist es umso wichtiger, beschreibende Fehlermeldungen zu haben. Mit Update 3 wurden bessere Fehlermeldungen hinzugefügt, damit Sie möglicherweise falsch konfigurierte Fehler schneller beheben können, anstatt Protokolle zu durchsuchen, um nach Fehlern zu suchen. Im Bild sehen Sie beispielsweise, dass der Load Balancer so konfiguriert wurde, dass er einen falschen Benutzernamen verwendet. Beheben Sie diesen Benutzernamen und der Supervisor-Cluster wird es erneut versuchen (da K8s deklarativ ist, z. B. möchte ich 10 VMs, wird es erneut versuchen, bis der gewünschte Status erreicht ist oder das Zeitlimit überschritten wird).
Lebenszyklus-Ende von SD-Cards und USB als Boot Medium
In der Vergangenheit wurden SD-Karten oder USB-Geräte gewählt, um Geräteschächte freizugeben und die Kosten für die Installation von ESXi-Hosts zu senken. Solche Geräte haben jedoch eine geringere Lebensdauer und zeigen im Laufe der Zeit Probleme mit der Zuverlässigkeit. Bei SD-Karten und USB-Laufwerken treten ebenfalls Leistungsprobleme auf und tolerieren möglicherweise keine hochfrequenten Lese-/Schreibvorgänge.
Dies ist kein generelles Flashspeicher Problem, aber es ist ein Designpunkt, da Flash sich von anderen Speichermedien unterscheidet. Vielen Leuten ist es meistens nicht bewusst, aber NAND-Flash-Speicher ist ein Verbrauchsmaterial. Die Spannung, die benötigt wird, um die Bits dauerhaft in den Speicher zu schreiben, nutzt sich mit der Zeit ab, so dass Sie jedes Mal, wenn Sie auf ein Flash-Speichergerät schreiben, es ein wenig verschleißt. Mit der Zeit summiert sich das, und wenn Sie weiter an derselben Stelle schreiben, verschleißen Sie es vollständig.
Ein Flash-Gerät, das für höhere E/A ausgelegt ist, verfügt über Methoden, um mit dieser Art von Verschleiß umzugehen, damit das Gerät zuverlässig bleibt. Das SSD- oder NVMe-Laufwerk in Ihrem Server verwendet “Wear-Leveling”-Methoden, um die Schreibvorgänge über das gesamte Laufwerk zu verteilen. Diese Arten von Laufwerken verfügen auch über freie Kapazitäten, sodass eine Speicherzelle, wenn sie abgenutzt ist, diese nahtlos ersetzen kann, ohne dass Sie es jemals wissen. Tatsächlich verfügen die meisten Flash-Geräte dafür über eine beträchtliche zusätzliche Kapazität. Ein 480-GB-S3500-SSD-Laufwerk von Intel hat beispielsweise tatsächlich 528 GB Speicher eingebaut. Aus diesem Grund wird Flash-Speicher auch in „Drive Writes Per Day“ oder DWPD bewertet, um die Arbeitslast an den Flash-Speichern anzupassen. Verschiedene Arten von Flash-Speicher haben unterschiedliche Toleranzen für das Schreiben, und Sie sehen Deskriptoren wie “leseintensiv” oder “schreibintensiv” für bestimmte Arten von Platten basierend auf ihrer Lebensdauer. Single-Level-Cell (SLC)-Flash ist am tolerantesten gegenüber Schreibvorgängen, dann Multi-Level-Cell (MLC), dann Triple-Level-Cell (TLC), und wenn die Speichergeräte für die Schreibmenge richtig dimensioniert wird, kann die Lebensdauer für diese Platten erheblich erhöht werden.
SD-Karten und USB-Sticks haben jedoch nicht so eine ausgefallene Logik. Sie sind einfache Geräte und nicht für moderne Betriebssysteme ausgelegt. Hardwarekomponenten in Servern haben zwar seit langem Spiegelungsgeräte für SD-Karten im Einsatz, aber trotzdem kommt es bei Kunden zu Ausfällen von SD-Karten, welche ausgetauscht werden müssen, was uns zeigt, dass es hier einen Kompromiss gibt.
Was also dagegen tun? VMware vSphere wird in Zukunft die Verwendung von SD- und USB-Laufwerken als Boot-Medien ablehnen. Sie erhalten eine Warnung, dass sich das Startvolume in einem „degradierten“ Modus befindet, da im Backend Dinge unternommen werden, um die Schreibvorgänge auf das Gerät zu begrenzen.
Wir empfehlen allen Kunden so bald wie möglich auf die ab 7.3 unterstützen Industriestandards M.2 flash (SLC and MLC), SAS, SATA (including SATADOM), oder PCIe NVMe disk (32GB minimum, 128GB recommended) zu wechseln.
Weitere Informationen zu diesem Thema finden Sie unter:
https://kb.vmware.com/s/article/85685
https://core.vmware.com/resource/esxi-system-storage-faq
vSphere Lifecycle Manager übernimmt weiterhin alle Aspekte von Patching und Bereitstellung. Erstens wurde die Depotbearbeitung hinzugefügt, da ab und zu auch mal etwas entfernen werden muss. Dies kann passieren, wenn ein Treiber oder eine andere Komponente zurückgerufen werden muss. Sie erhalten eine Benachrichtigung darüber, und haben die Möglichkeit entsprechende Maßnahmen zu ergreifen.
Zweitens wurde die Hardwarekompatibilität von E/A-Controllern auf die Plattenfirmware erweitert. Dies ist für vSAN sehr wichtig, da die Laufwerksfirmware einen großen Unterschied machen kann. Bedenken Sie, dass auch Hardware im weitesten Sinne in Wirklichkeit auch Software ist und auch gepatcht werden muss. Die Liste der Anbieter wird auch weiterhin mit neuen Partner erweitert, deren Hardware-Support-Manager mit Lifecycle Manager zusammenarbeiten können, damit Kunden Hardware und Software gemeinsam patchen und ein deklaratives Image erstellen können, das Dinge wie BIOS-Versionen spezifiziert.
Als letztes auf der Liste steht die vSAN-Witness-Verwaltung. Lifecycle Manager verarbeitet bereits andere Appliances für NSX und Tanzu und kann jetzt den vSAN-Witness verwalten, wenn er eigenständig verwendet wird (was der häufigste Anwendungsfall ist). Dieser Schritt hilft einem großen Teil der Kunden, sich um eine Sache weniger kümmern zu müssen.
Ressourceneinteilung
Vor vSphere 7 Update 3 waren Arbeitsspeicherstatistiken ohne die Installation zusätzlicher Befehlszeilentools von Drittanbietern nicht leicht zugänglich. Nun sind sie direkt in vSphere integriert und auch in der Benutzeroberfläche sichtbar. Dies ermöglicht die Fehlerbehebung und Überwachung von Speicherengpässen zwischen normalem System-DRAM und persistentem Speicher, Optane und NVDIMMs auf Host- und VM-Ebene. Dies wird von den Intel-CPUs der Cascade Lake- und Ice Lake-Familien unterstützt, und es gibt eine Kompatibilitätsmatrix für diese Funktion.
Update 3 bringt eine bessere Logik für den erneuten Versuch des Wartungsmodus, wenn dies nicht erfolgreich war, sowie die Art und Weise, wie DRS Workloads während des Wartungsmodus verschiebt. DRS verfolgt Workloads, die schwieriger zu verschieben sind, wie große VMs oder VMs mit hohem I/O, und versucht dann, sie so selten wie möglich zu verschieben. In den meisten Fällen ist dies jetzt mit nur einem Zug möglich, was Updates und Upgrades einfacher macht.
vSphere Cluster Services wurde in vSphere 7 Update 1 als neue Heimat für DRS in einem vSphere-Cluster eingeführt und verschiebt Dienste von vCenter Server, um dort Abhängigkeiten zu reduzieren. VMware hat dazu eine Menge Feedback erhalten und diese bereits in die neue Version integriert. Wenn Sie auch gerne einmal Feedback geben möchten, verwenden Sie dazu einfach die Schaltfläche „Smiley“ oben rechts im vSphere-Client!
Sie können jetzt den gewünschten Datenspeicher auswählen und einige der Affinitätseinstellungen steuern, wenn Sie sie auf einem bestimmten Host oder in der Nähe eines bestimmten Workloads möchten oder nicht. Die vSphere-VM-Härtungseinstellungen wurden in Verbindung mit dem Handbuch zur Sicherheitskonfiguration vorab auf die Agent-VMs angewendet. vSphere hat sehr sichere Standardeinstellungen, aber es gab einige Bereiche, in denen etwas expliziter getan werden musste, um Kunden zu helfen, die Compliance-Audits durchführen. Also wurde dies umgesetzt!
Die auffälligste Änderung mit Update 3 besteht darin, dass die Agent-VMs nicht mehr mit Klammern oder Leerzeichen benannt werden. Sie werden stattdessen mit einer UUID benannt.
Sicherheit & Compliance
Ransomware ist für viele Unternehmen nach wie vor verheerend, VMware hat damit begonnen, Informationen zu Taktiken für die Ausfallsicherheit bei vSphere-Bereitstellungen zu erstellen und zu sammeln. Sie finden dies im Ransomware Resource Center: https://core.vmware.com/ransomware
Das vSphere Security Configuration Guide ist weiterhin die beste Basisanleitung für die Sicherung von vSphere. Sie finden es unter: https://via.vmw.com/scg
Schließlich interessieren sich viele unserer Kunden für die Einhaltung gesetzlicher Vorschriften wie NIST 800-53, PCI DSS, CMMC, DSGVO, HIPAA, NIST 800-171 usw. Compliance ist eine Geschäftsanforderung und unterscheidet sich von Sicherheit, obwohl sie oft die gleichen Dinge überprüfen. Einer der schwierigsten Aspekte bei der Compliance ist, dass VMware nicht direkt helfen kann. Die gesamte Compliance wird anhand einer Produktimplementierung bewertet, da der Auditor sehen möchte, ob gute Entscheidungen für die Implementierung getroffen wurden.
Es ist nicht unähnlich einem Bauinspektor, der ein neues Haus inspiziert. Sie wollen den Kabelstapel auf dem Garagenboden nicht sehen, sie wollen sicherstellen, dass Sie keinen Kurzschluss verkabelt haben. Selbst sichere Produkte wie vSphere können unsicher implementiert werden. Flexibilität wie die von vSphere ist eine Stärke, kann aber auch einige unsichere Entscheidungen ermöglichen.
Wir können jedoch helfen, den Prüfern die Sicherheitskontrollen zu erklären, und unter https://core.vmware.com/compliance finden Sie eine ständig wachsende Sammlung von Anleitungen, die dies tun. Sie sollen Auditoren helfen zu verstehen, was ein vSphere-Administrator möglicherweise getan hat, um die Umgebung zu schützen, und wie sich dies in die Compliance-Frameworks einfügt.
