網管人雜誌
本文刊載於 網管人雜誌第 140 期 - 2017 年 9 月 1 日出刊,NetAdmin 網管人雜誌 為一本介紹 Trend Learning 趨勢觀念、Solution Learning 解決方案、Technology Learning 技術應用的雜誌,下列筆記為本站投稿網管人雜誌獲得刊登的文章,網管人雜誌於每月份 1 日出刊您可於各大書店中看到它或透過下列圖示連結至博客來網路書店訂閱它。文章目錄
前言vSAN 技術發展歷史
vSAN 6.6 新功能
安全性
管理
部署
可用性
效能
vSAN 軟體授權
結語
前言
去年 11 月時,VMware 官方在 VMworld 2016 大會上正式發佈最新版本 VMware vSphere 6.5,並且正式宣佈 VMware Virtual SAN 6.5 一同推出。事實上,在 VMware 所擘劃的 SDDC 軟體定義資料中心未來藍圖當中,負責 SDS 軟體定義儲存解決方案的角色便是 VMware vSAN(Virtual SAN)。雖然,距離最新第 5 代的 VMware vSAN 6.5 版本才短短間隔 5 個月的時間,VMware 官方便於 2017 年 4 月正式發佈第 6 代 VMware vSAN 6.6 並且這次發佈的第 6 代 VMware vSAN 6.6 卻總共新增 23 項特色功能。
簡單來說,透過 VMware vSAN 軟體定義儲存技術,企業及組織可以將多台安裝 ESXi 虛擬化平台的 x86 實體伺服器,透過 VMware vSAN 把所有硬體伺服器上的「本機硬碟」(Local Hard Disk)匯整串連起來(例如,NVMe 快閃儲存、SSD 固態硬碟、HDD 機械式硬碟……等),建構出巨大的儲存資源集區。
同時,這個巨大的儲存資源集區還能夠運作 VM 虛擬主機及容器等工作負載,因此企業及組織在建構 VMware vSAN 軟體定義儲存環境之後,便能一次解決建置「運算 / 儲存」資源的難題,這也是目前非常熱門稱為「超融合式架構」(Hyper-Converged Infrastructure,HCI)的應用方式。
圖 1、VMware vSAN 運作架構示意圖
vSAN 技術發展歷史
事實上,當市場上都還著重在利用硬體架構打造出 HCI 超融合式架構時,VMware 官方便已經著手發展以軟體定義的方式打造儲存資源,所以第 1 代的 VMware vSAN 版本,便在 2014 年 3 月時隨著 vSphere 5.5 Update 1 版本開始內建,讓企業及組織能夠透過「標準的 x86 硬體伺服器」結合 vSAN 技術,自行打造出 SDS 軟體定義儲存解決方案,而無須購買特定廠商推出的專用硬體式 SDS 軟體定義儲存設備,避免日後發生「供應商鎖定」(Vendor Lock-in)的情況。有關第 1 代 vSAN 運作架構及特色功能的詳細資訊,請參考本刊第 110 期《實戰部署 Virtual SAN 套用政策自動化搭配 VM》。
圖 2、第 1 代 VMware vSAN 軟體定義儲存技術
經過 1 年後於隔年 2015 年 3 月,VMware 官方推出第 2 代 VMware vSAN 版本,並且隨著當時最新虛擬化平台版本 vSphere 6.0 一同發佈,同時讓 vSAN 版本直接與 vSphere 版本對齊成為 vSAN 6.0 版本(因為,原訂 vSAN 新版本號為 vSAN 2.0),避免因為版本不一致導致 IT 管理人員在規劃設計上的困擾。在第 2 代 vSAN 版本當中最重要的特色功能便是支援 All Flash 運作架構,同時 vSAN 叢集規模與 vSphere 叢集一樣可達到 64 台節點主機。
有關第 2 代 vSAN 運作架構及特色功能的詳細資訊,請參考本刊第 114 期《動手建立 VSAN 6 儲存資源,實戰水平擴充與容錯網域》。
圖 3、第 2 代 vSAN 軟體定義儲存技術開始支援 All-Flash 運作架構
緊接著半年後於 2015 年 9 月時,VMware 官方推出第 3 代 VMware vSAN 6.1 版本,在這個版本中最具代表性的特色功能便是「延伸叢集」(Stretched Cluster)與「支援 2 Nodes」的運作架構。因此,透過 vSAN 延伸叢集運作架構在 2 個站台之間同步資料,有效解決過去傳統 VMware vSphere 叢集單一站台故障損壞的問題,透過支援 2 Nodes 的 vSAN 運作架構,讓企業或組織可以因應 ROBO(Remote Office / Branch Office),例如,遠端辦公室或分支辦公室的小型儲存資源需求。
有關第 3 代 vSAN 運作架構及特色功能的詳細資訊,請參考本刊第 120 期《VMware VSAN 延伸叢集,實作跨站點同步 HA 複寫》。
圖 4、第 3 代 vSAN 技術開始支援延伸叢集及 2 Nodes 運作架構
再隔半年後於 2016 年 3 月,VMware 官方推出第 4 代 VMware vSAN 6.2 版本,在這個版本當中最重要的功能特色為 All Flash 運作架構,開始支援「重複資料刪除與壓縮」(Deduplication and Compression)及「RAID 5/6 EC 編碼技術」(RAID 5/6 Erasure Coding),讓採用 All Flash 運作架構的企業及組織,能夠透過這 2 項重要的功能特色節省寶貴的快閃儲存空間。
有關第 4 代 vSAN 運作架構及特色功能的詳細資訊,請參考本刊第 124 期《概覽 VMware VSAN 6.2 新功能加強健康狀態監控》。
圖 5、第 4 代 vSAN 技術開始支援重複資料刪除與壓縮技術
經過 8 個月後於 2016 年 11 月,VMware 官方在 VMware VMworld 2016 大會正式發佈第 5 代的 vSAN 6.5 版本,在這個版本當中最重要的功能特色為開始支援「iSCSI 目標服務」(iSCSI Target Service),讓企業及組織中必須依靠 iSCSI 啟動器連接儲存資源的傳統服務,也能夠輕鬆使用 vSAN 儲存資源。
有關第 5 代 vSAN 運作架構及特色功能的詳細資訊,請參考本刊第 134 期《VMware 第五代 SDS 技術 vSAN 6.5 新功能快覽》。
圖 6、第 5 代 vSAN 技術開始支援 iSCSI 目標服務
vSAN 6.6 新功能
由於最新第 6 代 VMware vSAN 總共新增 23 項特色功能,因此本文將針對所有特色功能進行概要說明,在後續的專欄中再深入剖析各項特色功能並進行實戰演練。首先,我們可以將這些新增特色功能大致分類,分別為「安全性、管理、部署、可用性、效能」等 5 大類進行說明。安全性
在第 6 代 vSAN 版本當中,關於「安全性」(Security)方面有 2 項新增特色功能,分別是「原生加密」(Native Encryption)及「法務遵循」(Compliance)。主要原因在於,VMware 所擘劃的 SDDC 軟體定義資料中心願景當中,VMware vSAN 擔任 SDS 軟體定義儲存的重要角色,可以想見當企業及組織將大量的 VM 虛擬主機運作於 vSAN 環境中,同時 VM 虛擬主機內更存放著大量企業及組織的機敏資訊。因此,確保 vSAN 儲存資源的安全性機制將相形重要,在新版 vSAN 6.6 運作環境中 VMware 達成 HCI 超融合基礎架構原生加密解決方案。簡單來說,這個加密解決方案是內建在 vSAN 軟體定義儲存技術內,只要在管理介面中進行相關組態設定後,便可以針對 vSAN Datastore 儲存資源進行「啟用 / 停用」加密機制。
同時,因為 vSAN 6.6 Native Encryption 加密機制,是座落在「Hypervisor 層級」而非 VM 虛擬主機層級的加密機制,所以 vSAN 6.6 Native Encryption 加密機制與「硬體無關」,因此無須依靠專用且昂貴的「加密磁碟」(Self-Encrypting Drives,SED),就可以輕鬆達成企業機敏資料加密的目的。
圖 7、新版 vSAN 6.6 達成 HCI 超融合基礎架構原生加密解決方案
使用 vSAN 6.6 原生加密機制注意事項:
- vSAN 原生加密機制必須以「vSAN 叢集」為單位,進行 vSAN 原生加密運作機制的啟用及組態設定作業。
- 當 IT 管理人員對 vSAN 叢集啟用原生加密機制後,系統將會採用「XTS AES 256」加密演算法對 vSAN Datastore 儲存資源中,「快取」(Cache)及「容量」(Capacity)層級的儲存資源進行加密保護。
圖 8、啟用 vSAN 原生加密運作機制
- 由於 vSAN 原生加密運作機制,是座落在整體 vSphere 儲存堆疊架構中「裝置驅動層級」(Device Driver Layer)之上,所以不管是 vSAN 延伸叢集、vSAN 重複資料刪除、vSAN 壓縮、Erasure Coding……等特色功能,皆能協同運作不受任何影響。
- vSAN 原生加密運作機制,與 vSphere 進階特色功能,例如,vSphere vMotion、vSphere DRS(Distributed Resource Scheduler)、vSphere HA(High Availability)、vSphere Replication……等特色功能,皆能協同運作不受任何影響。
- vSAN 原生加密運作機制,符合「2-Factor Authentication(SecurID and CAC)」驗證機制,同時 vSAN 也是第 1 個通過 DISA / STIG 認可的 HCI 超融合解決方案。
- 啟用 vSAN 原生加密運作機制的操作步驟,與啟用 vSphere 6.5 當中 VM 虛擬主機加密機制一樣,在運作環境中都必須要有「KMS(Key Management Server)」才行。同時,只要是符合 KMIP 1.1 標準的 KMS 供應商產品即可,例如,HyTrust、Gemalto、Thales e-Security、CloudLink、Vormetric……等。
圖 9、透過 vCenter Server 管理平台組態設定 KMS 加密伺服器
- 雖然啟用 vSAN 原生加密運作機制的操作步驟非常簡單,但是當 IT 管理人員啟用 vSAN 原生加密機制之後,快取及容量層級儲存裝置的「磁碟格式」(Disk Format)將需要「重新格式化」,並且在啟用成功後可以透過 ESXi Shell 的「esxcli vsan storage list」指令進行確認,只要看到磁碟格式欄位顯示「Encryption: true」的訊息表示加密作業成功。值得注意的是,不管是「啟用或停用」vSAN 原生加密機制,因為必須將磁碟格式重新格式化,所以 vSAN 儲存資源若儲存資料量非常龐大時,將會花費大量的時間進行資料遷移作業。
- 由於 vSAN 原生加密運作機制,將會使用 KMIP(Key Management Interoperability Protocol)通訊協定,在 vSAN 叢集節點主機與 KMS 加密伺服器之間進行溝通。因此,VMware vCenter Server 管理平台及 PSC 和其它 VM 虛擬主機,能夠直接在啟用原生加密機制的 vSAN Datastore 儲存資源中持續運作而不會中斷。
- vSAN 原生加密運作機制,適用於 All-Flash 全快閃儲存及 Hybrid 混合儲存運作架構,並且與 KMIP 1.1 金鑰管理機制整合及協同運作。
- vSAN 原生加密運作機制,目前僅支援新版第 6 代 vSAN 6.6 的 vSAN Datastore 儲存資源,尚未支援其它舊版 vSAN Datastore(例如,vSAN 6.5…… 等)。
- 在 IT 業界普遍的資訊安全準則中,通常都需要定期重新產生新的加密金鑰,以降低加密金鑰被進行暴力破解的危害風險。因此,當需要重新產生新的加密金鑰時,IT 管理人員只要登入 vSAN 管理介面,便可以透過簡單的組態設定重新產生新的加密金鑰。
圖 10、因應法規遵循要求定期重新產生新的加密金鑰
管理
在第 6 代 vSAN 版本當中,關於「管理」(Management)的部分共新增 9 項特色功能(如下所示),舉例來說,在過往的 vSAN 版本運作環境中,整個 vSAN 軟體定義儲存架構仍以 vCenter Server 管理平台為主,倘若 vCenter Server 發生故障損壞事件,或 vSphere Web Client 服務無法正常運作時,雖然不致影響運作在 vSAN 儲存資源上的 VM 虛擬主機,但是後續將無法進行任何管理動作,例如,觀看 vSAN 叢集節點主機的健康情況。- Proactive Cloud Health Checks
- vSAN Configuration Assist
- Hardware Lifecycle Management
- Highly Available Control Plane for Health Checks
- Health and Performance Monitoring
- vRealize Management Pack for vSAN
- Stretched Cluster Witness Replacement
- Host Evacuation
- vSAN API and PowerCLI
現在,新版 vSAN 叢集中的 vSAN 叢集節點主機將以分散式的方式運作,同時結合 vSAN 6.6 版本中「Highly Available Control Plane for Health Checks」管理功能,即便 vCenter Server 發生故障損壞事件或 vSphere Web Client 服務無法正常運作時,管理人員仍然可以透過 vSAN 叢集中的「任何 1 台」vSAN 叢集節點主機,使用每台 ESXi 主機都原生內建的 VMware Host Client 管理工具,隨時查看 vSAN 叢集的運作狀態。
當然,IT 管理人員也可以使用「esxcli vsan」指令,檢查 vSAN 叢集的健康情況以及進行相關組態設定作業,例如,容錯網域(Fault Domains)、儲存原則(Storage Policy)、iSCSI 目標服務(iSCSI Target Service)……等。
圖 11、透過原生內建的 VMware Host Client 管理工具隨時查看 vSAN 叢集的運作狀態
部署
在第 6 代 vSAN 版本當中,關於「部署」(Deployment)的部分共新增 3 項特色功能(如下所示)。過去,在建構舊版 vSAN 軟體定義儲存運作環境時,最令 IT 管理人員感到困擾的便是建構的 vSAN 叢集中,所有 vSAN 叢集節點主機之間必須透過「多點傳送」(Multicast)進行溝通,並未支援企業及組織內部常用的「單點傳送」(Unicast)網路環境。- Easy Install
- Multicast Dependency Removed
- Extensibility
圖 12、第 6 代 vSAN 擺脫舊版只能使用 Multicast 的限制
現在,建構第 6 代 vSAN 軟體定義儲存環境不再強迫採用多點傳送網路環境,可以直接使用企業及組織內部常用的「單點傳送」(Unicast)網路環境,讓 IT 管理人員可以更簡易的建構 vSAN 叢集,甚至是擴充 vSAN 叢集至延伸叢集運作架構都相對容易。
值得注意的是,倘若企業及組織原有的舊版 vSAN 運作環境,在升級過程中仍必須保持多點傳送網路環境,直到 vSAN 叢集中所有 vSAN 叢集節點主機都順利升級為 vSAN 6.6 版本之後,此時 vSAN 叢集將會自動將網路傳送方式改為單點傳送。
圖 13、新版 vSAN 6.6 採用 Unicast 網路環境
可用性
在第 6 代 vSAN 版本當中,關於「可用性」(Availability)的部分共新增 3 項特色功能(如下所示)。雖然,從第 2 代 vSAN 版本開始,vSAN 叢集便已經能夠建立「延伸叢集」(Stretched Cluster)的運作架構,然而新版 vSAN 6.6叢集環境能夠結合本地端故障保護機制,讓 vSAN 叢集站台之間的容錯機制更具彈性,甚至能夠結合親和性規則讓儲存原則的管理更具備靈活性。- Stretched Cluster Local Failure Protection
- Stretched Cluster Site Affinity
- Degraded Device Handling
現在,新版 vSAN 6.6 所建構的延伸叢集運作環境,可以整合本地端站台內的 RAID 1 或 RAID 5/6 機制,達到本地端站台故障保護同時也可以跨站台進行資料鏡像保護。因此,建構延伸叢集運作環境後,不管哪個站台因為發生外力不可抗拒的嚴重故障損壞事件時,都能確保另一邊的站台擁有完整的資料副本。
圖 14、延伸叢集本地端故障保護機制運作架構示意圖
管理人員只要登入 vSphere Web Client 管理介面,切換到儲存原則的組態設定頁面後,在 Storage Type 組態設定區塊中可以看到,預設情況下「Primary level of failures to tolerate」欄位設定值為「1」,表示在 vSAN 延伸叢集中的 2 個站台將會互相執行「鏡像」(Mirror)資料的動作,至於「Secondary level of failures to tolerate」欄位設定值為「1」,表示 vSAN 延伸叢集中 2 個站台所互相鏡像的資料要保留幾份,最後的「Failure tolerance method」欄位設定值為「RAID-5/6(Erasure Coding)」,表示 vSAN 叢集站台為採用 All Flash 的儲存架構配置。
圖 15、組態設定 vSAN 延伸叢集本地端故障保護機制
因此,透過 vSAN 原有延伸叢集的運作架構結合新版 vSAN 本地端故障保護機制,有效讓 vSAN 叢集提升叢集配置的彈性並最大化減少意外導致的停機時間,即便站台因為發生外力不可抗拒的嚴重故障損壞事件時,也能有效減少跨站台之間的傳輸流量。
值得注意的是,在規劃 vSAN 延伸叢集運作架構時,在 2 個資料站台之間的網路環境必須確保在「5 ms RTT」之內,至於 2 個資料站台與 vSAN Witness 站台之間則只要確保在「200 ms RTT」即可,同時這樣的 vSAN 叢集運作架構具備高彈性及高可用性,但是卻無須額外購買其它專用的硬體或軟體即可達成。
效能
在第 6 代 vSAN 版本當中,關於「效能」(Performance)的部分共新增 5 項特色功能(如下所示)。舉例來說,在新版 vSAN 6.6 叢集運作環境中,vSAN 叢集節點主機支援採用最新 Intel 3D XPoint NVMe 快閃儲存(Intel Optane P4800X)。此外,根據 VMware 官方進行的效能測試結果顯示,與舊版 vSAN 6.5 All-Flash 運作架構相較之下,新版 vSAN 6.6 All-Flash 架構整體儲存效能將能提升 50 % 或更高。- Deduplication and Compression
- Rebuild and Resynchronization Enhancements
- Checksum
- De-Staging
- iSCSI
圖 16、新版 vSAN 支援 Intel 3D XPoint NVMe 快閃儲存及驚人的儲存效能表現
vSAN 軟體授權
倘若,企業及組織使用的是舊有 vSAN 版本的話,那麼可能會發現過需要使用進階版或企業版才能使用 All-Flash 全快閃儲存的運作架構,然而從第 5 代 vSAN 6.5 版本開始,所有 vSAN 軟體授權版本皆可以使用 All-Flash 全快閃儲存的運作架構,即使購買的是 ROBO(Remote Office / Branch Office),這種用於企業或組織遠端辦公室的軟體授權版本也支援,因此,即便是由 2 台 vSAN 節點主機所建構的小型 vSAN 運作環境,也能夠使用 All Flash 的硬體運作架構,為需要高 IOPS 儲存效能的分公司或小型 vSAN 環境提供解決方案。然而值得注意的是,雖然開放所有 vSAN 軟體授權版本都支援採用 All-Flash 全快閃儲存架構,但是在 All Flash 運作架構中進階特色功能,例如,「重複資料刪除及壓縮」(Deduplication & Compression)、「RAID5/6 Erasure Conding」特色功能,仍需要採用「進階版或企業版」vSAN 軟體授權才能夠使用。
倘若,企業或組織希望達到更高可用性的 vSAN 運作架構,需要建置「延伸叢集」並結合「本地端故障保護機制」特色功能時,那麼只有採用「企業版」(Enterprise)的 vSAN 軟體授權才能使用這些進階特色功能。
圖 17、VMware vSAN 6.6 軟體授權特色功能清單
原則上,vSAN 軟體授權需要額外購買並以「per-CPU」的方式計價,同時企業或組織購買的 VMware vSphere 或 VMware vSphere with Operations Management 軟體授權,並未包含 vSAN 軟體授權。此外,若採購的是 vSAN for ROBO 軟體授權版本的話,則是以每「25 VM 虛擬主機」為採購單位。
圖 18、vSAN for ROBO 運作架構示意圖
倘若,企業或組織需要建購 VDI 虛擬桌面運作架構的話,可以購買 vSAN for Desktop Advanced 軟體授權,因為此版軟體授權將包含 VMware Horizon Advaned 及 vSAN Enterprise 版本,讓企業及組織可以在建構 VDI 虛擬桌面的同時,便於輕鬆導入 vSAN 軟體定義儲存技術。