網管人雜誌
本文刊載於
網管人雜誌第 223 期 - 2024 年 8 月 1 日出刊,NetAdmin 網管人雜誌
為一本介紹 Trend Learning 趨勢觀念、Solution Learning 解決方案、Technology
Learning
技術應用的雜誌,下列筆記為本站投稿網管人雜誌獲得刊登的文章,網管人雜誌於每月份
1 日出刊您可於各大書店中看到它,或透過城邦出版人讀者服務網進行訂閱。
本文目錄
前言
隨著 Microsoft Ignite 2023 大會 ,順勢發佈的最新 Azure Stack HCI 23H2 公開預覽版(Public Preview),最大功能亮點在於,微軟觀察到零售、製造、醫療……等行業,在實際營運環境中,經常會分佈在許多地理位置不同的邊緣地點,這些邊緣地點的營運環境不僅分散,並且也非企業和組織常見的地端資料中心內完善的運作環境。
因此,對於這樣新興的營運環境需求,從最新的 Azure Stack HCI 23H2 版本開始,嘗試支援從 Azure 公有雲環境,部署及管理這些地理位置不同邊緣地點中的 HCI 超融合環境(如圖 1 所示)。
後續會將 Azure Stack HCI 超融合基礎架構,簡稱為 AzSHCI。
圖 1、透過 Azure 公有雲同時管理不同地理位置的 HCI 超融合叢集
Azure Stack HCI 23H2 特色功能
雲端部署
那麼 AzSHCI 超融合叢集,是如何達成「雲端部署」(Cloud-Based Deployment)的呢 ?首先,企業和組織採購的伺服器到達邊緣位置後,倘若已經預先安裝好 AzSHCI 超融合作業系統時,那麼現場人員只需要確保網路連線,並與 Azure Arc 建立初始網路連線後,屆時便可以透過 Azure 公有雲環境,從 AzSHCI 超融合叢集部署、儲存集區資源、網路組態設定……等完成,倘若有數量龐大的邊緣位置需要部署時,也可以透過「Azure 資源管理員」(Azure Resource Manager,ARM),以「基礎架構即程式碼」(Infrastructure-as-Code,IaC)的方式,進行大規模的部署作業。
集中管理所有工作負載
由於邊緣位置的 AzSHCI 超融合叢集,已經透過 Azure Arc 基礎架構串連在一起,所以管理人員在 Azure Portal 管理介面中,可以開始設定和啟用 Arc 虛擬主機、Azure Kubernetes Service(AKS)容器叢集、Azure Virtual Desktop(AVD)虛擬桌面會話主機(如圖 2 所示),讓管理人員可以在同一個管理介面中,分別管理和部署不同的工作負載類型。
圖 2、透過 Azure Portal 管理介面,部署和管理不同地理位置的工作負載
支援可信任啟動安全性機制
在現今的網際網路環境中,網路威脅情勢不斷的迅速變化,攻擊手法也轉變為日趨複雜,然而隨著企業和組織的數位轉型風潮,導致許多營運用途的應用程式和基礎設施處於邊緣位置。因此,在最新的 Azure Stack HCI 23H2 版本中,將各項安全性設定與 Microsoft Defender for Cloud 進行整和,讓屆時 AzSHCI 超融合叢集所部署的 VM 虛擬主機,也支援可信任啟動保護虛擬機器選項(如圖 3 所示),確保部署的 VM 虛擬主機,能夠更有效阻擋不斷演變的惡意攻擊手法。
圖 3、AzSHCI 超融合叢集支援部署可信任啟動保護 VM 虛擬機器選項
實戰 – Azure Stack HCI 23H2 單節點叢集
由於本文撰寫期間,Azure 公有雲的 AzSHCI 雲端部署功能,僅支援採用實體伺服器,尚未支援 VM 虛擬主機進行部署。因此,在實戰演練小節中,將使用巢狀式技術搭配地端資料中心的部署方式,建構 AzSHCI 超融合叢集環境。
部署支援巢狀技術VM虛擬主機
原則上,只要採用支援的硬體主機和作業系統版本,便能部署 AzSHCI 超融合叢集,然而對於中小型企業和組織來說,IT 管理人員可能沒有多台或符合軟硬體需求的主機。此時,便可以在內部資料中心內,部署支援巢狀式 VM 虛擬主機環境,或是透過 Azure 公有雲環境,部署支援巢狀式虛擬化環境的 VM 虛擬主機。
值得注意的是,無論是內部資料中心自建或採用 Azure 公有雲環境,部署支援巢狀式虛擬化環境的 VM 虛擬主機,所建構的 AzSHCI 超融合叢集,都僅適用於研究和測試用途,不適用於真實營運環境。此外,AzSHCI 單節點超融合叢集,僅支援採用單一儲存裝置,例如,NVMe 或 SSD 的 All-Flash 運作架構,不支援採用混合式儲存裝置,例如,NVMe+SSD、NVMe+HDD、SSD+HDD……等,這是採用實體伺服器建構 AzSHCI 單節點超融合叢集時,必須特別注意的地方。
在實戰演練小節中,將會在一台支援巢狀式虛擬化的 Azure VM 虛擬主機中,建立多台 VM 虛擬主機,達成部署 AzSHCI 超融合叢集的目的。值得注意的是,Azure VM Gen2 世代虛擬主機,預設在安全性類別採用「Trusted launch virtual machines」選項,以便支援 Secure Boot 和 vTPM 等新式安全性機制,但此舉卻會導致巢狀式虛擬化機制無法運作。
因此,在建立支援巢狀式虛擬化的 Azure VM 虛擬主機時,請記得將安全性類別選擇為「Standard」項目(如圖 4 所示),才能確保巢狀式虛擬化技術正常運作,詳細資訊請參考 Azure VM 的可信任啟動 - Azure Virtual Machines | Microsoft Learn 官方文件說明。
圖 4、選擇安全性類別為 Standard 確保巢狀式虛擬化功能順利運作
由於在 Azure 公有雲環境中,管理人員無法碰觸到 Azure 公有雲底層的 Hyper-V 虛擬化平台。因此,必須建立 NAT vSwitch 虛擬交換器,以便稍後建立的 DC 網域控制站和 AzSHCI 虛擬主機,能夠透過第一層 Hypervisor 虛擬化管理程序,所建立的 NAT vSwitch 虛擬交換器進行網路封包路由。
在本文實作環境中,建立的 NAT vSwitch 虛擬交換器名稱為「AzSHCI-NATSwitch」,稍後處理的網路位址轉譯 IP 網段為「10.10.75.0/24」,預設閘道 IP 位址為「10.10.75.1」。
請在 Azure VM 虛擬主機中,開啟 PowerShell 指令視窗並鍵入「New-VMSwitch -Name "AzSHCI-NATSwitch" -SwitchType Internal」指令,建立給第二層 VM 虛擬主機使用的 NAT vSwitch 虛擬交換器,並且連接類型為「Internal network」(如圖 5 所示)。
圖 5、透過 Hyper-V 管理員查看建立的 NAT vSwitch 虛擬交換器
執行「New-NetIPAddress -IPAddress 10.10.75.1 -AddressFamily IPv4 -PrefixLength 24 -InterfaceAlias "vEthernet(AzSHCI-NATSwitch)"」指令,為這台 NAT vSwitch 虛擬交換器,組態設定預設閘道 IP 位址為「10.10.75.1」。
執行「New-NetNat -Name "AzSHCI-NATSwitch" -InternalIPInterfaceAddressPrefix "10.10.75.0/24"」,組態設定這台 NAT vSwitch 虛擬交換器,處理的 NAT 網路位址轉譯 IP 網段為「10.10.75.0/24」。
一旦 NAT vSwitch 虛擬交換器成功建立並組態設定完成後,管理人員可以分別執行「Get-VMSwitch」、「Get-NetIPAddress -IPAddress 10.10.75.1」、「Get-NetNat」等指令,確認 NAT vSwitch 虛擬交換器組態設定內容是否正確無誤,避免後續發生網路不通或無法路由的情況。
部署 DC 和 AzSHCI 主機
首先,請分別下載 Windows Server 2022 印象檔 ,以及最新版本的 Azure Stack HCI 23H2 印象檔 。在本文實作環境中,新增一台 VM 虛擬主機,擔任 DC 網域控制站的角色,組態設定的 IP 位址為「10.10.75.10」,並部署建立「lab.weithenn.org」的網域名稱(如圖 6 所示),同時建立 DNS 名稱解析服務,以及稍後 AzSHCI 主機能夠加入網域環境,並使用正確的 DNS 名稱解析。
圖 6、部署並建立 lab.weithenn.org 網域名稱
為了方便讀者建立 AzSHCI 超融合叢集環境,將採用「單台」節點主機的方式建立。值得注意的是,單台節點主機的 AzSHCI 超融合叢集環境,至少要採用 Azure Stack HCI 22H2 版本,或是本文採用的最新 Azure Stack HCI 23H2 版本才行。
在建立 AzSHCI 主機時,除了作業系統硬碟之外,還額外配置四個 3TB SSD 固態硬碟,屆時為超融合儲存集區的儲存空間,在 AzSHCI 主機處於關機狀態時,執行「Set-VMProcessor -VMName $HCINode -ExposeVIrtualizationExtensions $true」指令,為名稱為「AzSHCI」的第二層 VM 虛擬主機,啟用 vCPU 虛擬處理器硬體輔助虛擬化擴充功能,確保 AzSHCI 主機能夠正確接收到,底層 Hyper-V 虛擬化平台所公開和傳遞而來,Intel VT-x 及 EPT 硬體輔助虛擬化技術,順利啟用後請再次進行確認,「ExposeVirtualizationExtensions」欄位值是否為「True」,確保啟用的工作任務已套用生效(如圖 7 所示)。
圖 7、為 AzSHCI 主機啟用 vCPU 虛擬處理器硬體輔助虛擬化擴充功能
原則上,AzSHCI 主機超融合作業系統的安裝流程,和傳統 Windows Server 安裝程序相同(如圖 8 所示),安裝作業完成後系統將自動彈出命令提示字元視窗,並提醒管理人員設定 Administrator 管理者密碼,完成管理者密碼設定之後,便自動進入 「伺服器組態設定工具」(Server Configuration Tools,SConfig) 互動設定視窗。
圖 8、安裝最新 Azure Stack HCI 23H2 版本超融合作業系統
透過 SConfig 伺服器組態設定工具,管理人員可以輕鬆為 AzSHCI 主機,進行基礎架構的組態設定作業,包含,電腦名稱、IP 位址網路組態設定、變更系統時區和時間、安裝最新安全性更新、加入網域環境……等工作任務。
在本文實作環境中,將 AzSHCI 虛擬主機的電腦名稱變更為「AzSHCI」、網路組態設定固定 IP 位址為「10.10.75.23」、變更系統時區為「(UTC + 8)Taipei」、在安裝完最新安全性更新並重新啟動完畢後,加入「lab.weithenn.org」網域環境(如圖 9 所示)。
圖 9、為 AzSHCI 主機進行基礎設定並加入 lab.weithenn.org 網域環境
AzSHCI 主機基礎設定完成後,請先確認額外配置的四個 3TB SSD 固態硬碟,是否能夠正確被系統識別,確保稍後建立超融合儲存集區時,能夠順利將 SSD 固態硬碟加入並匯整至儲存集區內,成為日後 VM 虛擬主機或容器等工作負載的儲存資源。
管理人員,可以直接開啟 AzSHCI 主機的 Console 畫面,離開 SConfig 伺服器組態設定工具後進入 PowerShell 指令環境,或是在 Azure VM 虛擬主機環境中,執行「Enter-PSSession -VMName "AzSHCI" -Credential lab.weithenn.org\Administrator」指令,待通過使用者身份驗證程序後,遠端連線至 AzSHCI 主機的 PowerShell 指令環境。
執行「Get-PhysicalDisk | Sort-Object -Property Size」指令,檢查 AzSHCI 主機儲存裝置,並以 Size 欄位將顯示結果進行排序,請確保四個 3TB SSD 固態硬碟中,每個 CanPool 欄位值皆為「True」,屆時這四個儲存裝置才能順利加入至超融合儲存集區中(如圖 10 所示)。
圖 10、確保系統識別四個 3TB SSD 固態硬碟且 CanPool 欄位為 True
執行「Install-WindowsFeature」指令,為 AzSHCI 主機安裝必要的伺服器角色和功能,例如,DCB 資料中心橋接(Data-Center-Bridging)、容錯移轉叢集(Failover-Clustering)、檔案伺服器(FS-FileServer)、Hyper-V PowerShell 管理工具……等,系統在安裝完畢後,提醒必須重新啟動主機才能套用生效。
由於 Install-WindowsFeature 安裝指令,會在安裝過程中執行相容性檢查,但因為本文是巢狀虛擬化測試環境,倘若使用 Install-WindowsFeature 指令,為 Azure Stack HCI 超融合作業系統,安裝 Hyper-V 虛擬化功能時,將會因為相容性檢查作業未通過而發生失敗的情況。
因此,請改為使用「Enable-WindowsOptionalFeature -Online -FeatureName "Microsoft-Hyper-V" -All -NoRestart」,確認安裝結果為 True 之後,再執行「Restart-Computer」指令重新啟動主機,以便安裝的伺服器角色和功能套用生效(如圖 11 所示)。
圖 11、為 AzSHCI 主機安裝超融合環境需要的伺服器角色和功能
建立容錯移轉叢集並啟用 HCI 超融合功能
由於,在本文撰寫期間,最新的 WAC(Windows Admin Center)2311 版本,仍尚未支援部署和組態設定「單台」AzSHCI 超融合運作環境。但若是透過 Azure Arc 在 Azure Portal 的話,則支援部署單台 AzSHCI 超融合運作環境。
管理人員可以使用 PowerShell 指令,執行部署單節點超融合叢集的動作。請執行「New-Cluster -Name HCI-Cluster -Node AzSHCI -NOSTORAGE -StaticAddress 10.10.75.20」指令,部署的容錯移轉叢集名稱為「HCI-Cluster」,節點主機名稱為「AzSHCI」,容錯移轉叢集的 IP 位址則是「10.10.75.20」,值得注意的是必須加上「-NOSTORAGE」參數。
順利部署容錯移轉叢集後,執行「Enable-ClusterStorageSpacesDirect -CacheState Disabled」指令,啟用 Storage Spaces Direct 的 HCI 超融合技術,並且停用儲存體快取機制,在系統詢問是否啟用 HCI 超融合技術時,鍵入 A 即可,當系統啟用完成後便會產生名稱為 EnableClusterS2D 的 HTML 格式報表檔案,執行「Get-StoragePool」指令,可以看到系統已經透過啟用 HCI 超融合技術,將四個 3TB SSD 固態硬碟空間,匯整為 12TB 的儲存集區(如圖 12 所示)。
圖 12、建立容錯移轉叢集並啟用 HCI 超融合技術
註冊 WAC 管理平台
雖然,最新版本的 WAC 管理平台,尚未支援部署單節點 AzSHCI 超融合叢集,但是當管理人員手動部署 HCI 超融合叢集後,同樣可以透過 WAC 管理平台,管理和組態設定 AzSHCI 超融合叢集,並新增及建立相關工作負載,例如,VM 虛擬主機、容器……等。
由於 WAC 安裝程式,無法安裝在 DC 網域控制站中,所以建立另一台安裝 Windows 10 的 VM 虛擬主機,並安裝 WAC 管理平台。順利通過使用者身份驗證機制,登入 WAC 管理平台後,請依序點選「Add > Add or create resources > Server Clusters > Add」,在Add Cluster欄位中鍵入「HCI-Cluster.lab.weithenn.org」叢集名稱,系統便會自動掃描和探索到此 HCI 超融合叢集(如圖 13 所示)。
圖 13、在 WAC 管理平台中新增管理名稱為 HCI-Cluster 的超融合叢集
順利連線並納管 HCI-Cluster 超融合叢集後,管理人員便可以透過 WAC 管理平台,查看 AzSHCI 超融合叢集的各種使用率和工作負載資訊,包括,超融合叢集節點主機數量和資訊、儲存裝置數量和資訊、管理 VM 虛擬主機、超融合叢集 CPU/Memory/Storage 資源使用資訊、IOPS 儲存效能、Latency 延遲時間、Throughput 傳輸速率……等。
在 WAC 管理介面中可以看到,系統提示必須先將此台 WAC 管理平台,註冊至 Azure 公有雲環境中(如圖 14 所示),才能為剛才部署的單節點 AzSHCI 超融合叢集進行註冊的動作,後續才能導入 Azure Monitor 監控機制、啟用 Azure Benefits 權益、建置 AKS 容器平台……等,達成混合雲運作架構。
圖 14、系統提示必須先註冊 WAC 管理平台
請在 WAC 管理平台中,依序點選「Settings > Register > Register with Azure > Register」,在彈出的對話視窗中,請於 Select an Azure cloud 下拉選單中選擇「Azure Global」項目,然後在 Copy this code 欄位中按下 Copy 鈕,並按下 Enter the code 連結,此時瀏覽器將會另開新頁,請貼上剛才複製的 Code 內容,通過使用者身份驗證程序後,系統會提示關閉該新開分頁。
回到原 WAC 管理介面視窗中,可以發現多了 Connect to Microsoft Entra ID 的訊息(舊稱為 Azure AD),並顯示 Microsoft Entra(tenant)ID 資訊,請在下拉選單中選擇採用的 Microsoft Entra ID 後,選擇 Use Existing 或 Create New 選項後按下 Connect 鈕,當系統順利連接至 Microsoft Entra ID 環境後,便會顯示 Now connected to Microsoft Entra ID 訊息,請按下 Sign in to Azure 選項中的 Sign in 鈕(如圖 15 所示),即可將此台 WAC 管理主機,註冊至指定的 Azure 訂閱帳戶和 Microsoft Entra ID 環境中。
圖 15、註冊 WAC 管理主機至指定的 Azure 訂閱帳戶和 Microsoft Entra ID 環境中
圖 16、為已註冊的 WAC 管理主機提升 API 權限
回到 AzSHCI 超融合叢集 Dashboard 頁面中,點選 Azure connection 中的 Register this cluster 連結,在彈出的 Register Azure Stack HCI 對話框中,請在 Azure subscription ID 下拉選單中,選擇要使用的 Azure 訂閱帳戶,並在 Azure Resource Group 欄位中選擇 Create new 項目,鍵入資源群組名稱,本文實作為「RG-EastAsia-AzSHCI」,在 Azure Region 選擇此資源群組所要使用的 Azure 資料中心,選擇 Azure 東亞機房「East Asia」,展開 Advanced 勾選「Enable Azure Arc」項目,連同 Azure Arc管理機制一同安裝並註冊使用,確認無誤後按下 Register 鈕,立即進行向 Azure 公有雲註冊 AzSHCI 叢集和 Azure Arc 管理機制。
註冊流程開始後,系統將會彈出 CredSSP 視窗,請鍵入連接 AzSHCI 超融合叢集時,使用的 CredSSP connection 使用者帳號及密碼,通過使用者身份驗證程序註冊成功後,可以手動開啟另一個視窗,登入 Azure Portal 中的 Resource Group,可以看到剛才指定的「RG-EastAsia-AzSHCI」資源群組已成功建立,進入後在 Resources 區塊中,可以看到註冊成功的「HCI-Cluster」超融合叢集。
確認 AzSHCI 超融合叢集註冊成功後,切換回 WAC 管理平台介面,系統顯示註冊成功資訊,而 Azure Connection 區塊中的 Status 狀態資訊,也從原本紅色錯誤的 Not yet registered 狀態,轉變為綠色打勾的 Connected 狀態(如圖 17 所示)。
圖 17、成功註冊 AzSHCI 單節點超融合叢集
選擇採用精簡佈建磁碟區
首先,為 AzSHCI 單節點超融合叢集,建立新式的「精簡佈建」(Thin Provisioning)磁碟區,以供後 VM 虛擬主機、容器、或檔案伺服器……等工作負載使用。
值得注意的是,雖然 AzSHCI 超融合叢集已全面支援精簡佈建磁碟區,然而預設情況下,系統預設值仍為「固定」(Fixed)磁碟區。因此,管理人員可以在建立磁碟區之前,在 WAC 管理介面中,依序點選「HCI-Cluster > Configuration > Settings > Storage > Storage Spaces and pools > Storage Pool : S2D on HCI-Cluster > Default Provisioning Type」,將預設值的 Fixed 選項,改為選擇「Thin」選項後,按下 Save 鈕將磁碟區預設值,修改為採用精簡佈建磁碟區(如圖 18 所示)。
圖 18、調整 AzSHCI 單節點超融合叢集預設改採精簡佈建磁碟區
圖 19、依據需求選擇建立固定或精簡佈建磁碟區
圖 20、分別建立 2TB 和 10TB 的精簡佈建磁碟區
切換到 Dashboard 主頁後,可以看到雖然建立總共 12TB 大小的精簡佈建磁碟區,但是在 Used 欄位仍僅佔用「72 GB」儲存空間,而 Available 欄位仍有「11.9 TB」可供使用(如圖 21 所示),顯示精簡佈建磁碟區,確實能為企業和組織提供儲存空間彈性。
圖 21、採用精簡佈建磁碟區有效提升儲存空間可用率
結語
透過本文的深入剖析和實作演練後,相信管理人員除了理解最新 Azure Stack HCI 23H2 版本特色功能之外,透過實戰演練建立 AzSHCI 單節點超融合叢集,並部署精簡佈建磁碟區,以供後續 VM 虛擬主機和容器等工作負載使用,讓企業和組織的管理人員,能快速建立研發和測試 AzSHCI 超融合叢集環境。