2020年4月3日,VMware 发布了vSphere 7正式版,我很高兴终于能够描述为什么它是真正适用于混合云的技术!
带Kubernetes的vSpherevSphere 7的第一个功能是带有Kubernetes(以前称为Project Pacific)的vSphere 。这是一个重要的话题,我们计划有很多内容计划更深入地研究vSphere的转换方式,以同时支持VM和容器。正如Krish所提到的,Tanzu Kubernetes网格服务是客户如何通过vSphere运行完全兼容和一致的Kubernetes的方式。但是,当不需要与开放源代码项目完全兼容时,vSphere Pod Service可以通过类似于VM的隔离提供优化的性能和更高的安全性。这两个选项均可通过VMware Cloud Foundation 4获得。重要的一点是,Kubernetes现在已内置于vSphere中,它使开发人员可以继续使用与创建现代应用程序相同的行业标准工具和界面。vSphere管理员还可以从中受益,因为他们可以使用围绕vSphere开发的相同工具和技能来帮助管理Kubernetes基础架构。为了帮助架起这两个世界,我们引入了一个名为Namespaces的新vSphere结构,允许vSphere Admins创建一组逻辑资源,权限和策略,以应用程序为中心。
如果您不打算使用Kubernetes,则在此版本中我们仍然具有许多新功能和改进功能。实际上,我们已经为两项最成熟的技术迈出了一大步:DRS和vMotion。除命名空间外,我们还有许多其他新功能需要讨论。
改进的分布式资源调度程序(DRS)重新设计了vSphere DRS,以更好地服务于容器和VM。DRS过去一直专注于集群状态,当该算法有利于整个集群的平衡时,该算法会推荐vMotion。这意味着DRS过去通过使用群集范围的标准偏差模型来实现群集平衡。
但是,单个VM呢?该vMotion对移动的VM或旧邻居或新邻居有何影响?新的DRS逻辑采用了非常不同的方法来解决这些问题。它在主机上计算VM DRS分数,并将VM移动到提供最高VM DRS分数的主机。与旧版DRS的最大区别在于,它不再平衡主机负载。这意味着DRS不太关心ESXi主机利用率,并优先考虑虚拟机“幸福”。每分钟也会计算一次VM DRS分数,这将导致对资源的更精细的优化。可分配的硬件在vSphere 7中,开发了一个称为可分配硬件的新框架,该框架可在客户使用硬件加速器时扩展对vSphere功能的支持。它引入了vSphere DRS(用于将VM初始放置在群集中)以及对配备有直通PCIe设备或NVIDIA vGPU的VM的vSphere High Availability(HA)支持。与可分配硬件相关的是新的Dynamic DirectPath I / O,它是一种配置直通以将PCIe设备直接暴露给VM的新方法。PCIe设备的硬件地址不再直接映射到虚拟机的配置(vmx)文件。相反,它现在作为PCIe设备功能公开给VM。动态DirectPath I / O,NVIDIA vGPU和可分配硬件共同构成了一个强大的新组合,可释放一些出色的新功能。例如,让我们看一个需要NVIDIA V100 GPU的VM。现在,当虚拟机启动(初始放置)时,可分配硬件将与DRS进行交互,以查找具有此类设备可用的ESXi主机,声明该设备的所有权,然后将VM注册到该主机。如果主机发生故障并且vSphere HA启动,则可分配硬件还允许在具有所需硬件可用的合适主机上重新启动该VM。
vSphere Lifecycle ManagervSphere Lifecycle Manager拥有许多vSphere 7新功能,带来了一系列功能来使生命周期操作更好。借助vSphere Lifecycle Manager,vCenter Server和ESXi主机配置管理都发生了范式转变。使用所需的状态配置模型,vSphere Administrators可以一次创建配置,应用配置,然后继续通过称为vCenter Server Profiles和Image Cluster Management的新工具监视所需的状态。通过vCenter Server配置文件,管理员可以标准化所有vCenter Server的配置,并进行监控以防止配置漂移。
群集映像管理允许管理员在群集级别创建映像,这些映像指示如何配置群集内的主机。群集映像可以包括vSphere(ESXi)版本,供应商附加组件(这是黄金ESXi映像和VUM术语中的OEM ISO之间的增量)以及固件附加组件,该附件允许vSphere Lifecycle Manager进行以下操作:与供应商提供的固件管理工具(或硬件支持管理器)(例如Dell OMIVV)进行通信。此次发布的我们的合作伙伴包括Dell EMC和HPE。
第三,在vSphere Lifecycle Manager中,我们有vCenter Server Update Planner。vCenter Server Update Planner提供了本机工具来帮助成功规划,发现和升级客户环境。直接在vSphere Client中进行升级时会收到通知。然后使用Update Planner轻松监视VMware产品的互操作性矩阵,以确保可用的升级与环境中的其他VMware软件兼容。在开始升级之前,请运行一组可用的预检查以帮助实现版本兼容性。万事皆安?您将成功升级,毫不奇怪。请务必注意,vCenter Server Update Planner仅适用于vSphere 7及更高版本。因此,Update Planner无法帮助您计划从vSphere 6.x到vSphere 7的升级,但是一旦运行vSphere 7,它将大大简化升级。
重构的vMotion与DRS一样,我们需要审查vMotion流程,并仔细研究如何改进vMotion以支持当今的工作负载。像SAP HANA和Oracle数据库后端这样具有大量内存和CPU占用空间的VM面临使用vMotion实时迁移的挑战。vMotion流程对性能的影响以及切换阶段可能需要较长的眩晕时间,这意味着客户对于这些大型工作负载不习惯使用vMotion。借助vSphere 7,我们极大地改进了vMotion逻辑,从而使该功能恢复了。从高层次上讲,vMotion由多个过程组成。对于大多数VM,这些进程可以非常快速地执行,通常足够快而不会被注意到。对于具有大量CPU和内存分配的VM,这些过程可能会变得很明显,甚至持续足够长的时间,以使VM中运行的应用程序认为存在问题。因此,对其中一些流程进行了改进,以缓解较大型VM的vMotion问题。一种这样的过程使用页面跟踪程序,其中vMotion跟踪迁移期间的内存页面调度活动。在vSphere 7之前,页面跟踪发生在VM内的所有vCPU上,这可能导致VM及其工作量受到迁移本身的资源限制。使用vSphere 7另一个改进的过程是内存复制。在vSphere 7之前,内存在主机之间以4k页的大小进行传输。vSphere 7现在使用1 GB页面以及一些其他优化功能,以使数据传输更加高效。为了确保眩晕时间保持在1秒目标内(主机之间进行切换的时间),VM状态和内存页面的位图将被传输。这个眩晕时间很重要,对于非常大的VM,要在不到1秒的时间内传输该位图就变得很困难。因此,仅传输所需的页面,而不是传输整个位图(对于大型VM而言,位图的大小可能为数百兆字节)。大多数页面实际上已经从原始传输开始已经在目标主机上,因此我们可以将传输时间从几秒钟减少到几毫秒。与本文中的所有主题一样,有关此新过程的更多详细信息(如此处的后续文章)将可用。关键的最终结果是,vMotion现在甚至可以用于最大的VM。
本质安全客户可以提高安全性的最大方法之一是通过良好的密码策略,而最简单的方法之一就是实施多因素身份验证(MFA)。因此,问题在于实现MFA的方法太多了,几乎不可能用所有这些方法扩展vCenter Server。此外,即使VMware实现了其中的一些功能,我们仍在复制许多客户在其企业身份管理系统中已经拥有的功能,这与我们为用户(vSphere Admins)改善生活的愿望不符。
解决方案是使用开放式身份验证和授权标准(例如OAUTH2和OIDC)进行联盟。借助vSphere 7和Identity Federation,vCenter Server可以与企业身份提供商进行对话,从而使vSphere Admins和vCenter Server脱离过程。这简化了vSphere Admin的工作,并减少了有助于减少合规性审核范围的工作。它还为许多不同的MFA方法打开了大门,因为它们已经知道如何插入Active Directory联合身份验证服务(ADFS)之类的东西。借助vSphere 7,我们将立即支持ADFS,并将随着时间的推移为更多提供商提供支持。
我们还将引入vSphere Trust Authority(vTA),以帮助您更轻松地在整个堆栈中建立信任-从裸机一直到工作负载。vSphere Trust Authority使用单独管理的小型ESXi主机集群创建信任的硬件根,该集群负责执行认证任务。主机证明是UEFI安全启动过程,服务器的受信任平台模块(TPM)和外部服务共同使用密码进行验证的地方,以验证主机是否以正确的配置运行了正版软件。在vSphere 7中,vTA通过让受信任的主机接管与密钥管理系统(KMS)的通信,从而使证明能够执行规则。这简化了与KMS的连接,简化了风险审计,并确保证明失败的主机不会访问秘密。没有这些秘密,主机将无法运行加密的VM,这很好。我们不希望在不受信任的服务器上安装受保护的VM。通过减少所需管理的证书数量以及引入新的证书导入向导,证书管理也将继续得到改善。解决方案不再需要管理用户证书,并且还简化了ESXi,以便其服务使用通用证书。最后,还有一个REST API用于操作,例如从VMware证书颁发机构(VMCA)续订证书,从而使该过程更易于自动化。
其他改进本博客文章并不旨在详尽无遗,但我想提及其他一些vSphere 7功能。首先,我们继续简化vCenter Server架构。使用vSphere 7,不再能够为Windows部署外部Platform Services Controller(PSC)或vCenter Server。如果您具有这两种类型的部署,则vCenter Server 7安装程序将自动将该vCenter Server实例迁移到具有嵌入式PSC的vCenter Server设备。没有涉及多个工具的多步骤过程。这是一种集成的无缝体验。还添加了对vCenter Server设备的多个NIC的支持,新的CLI工具以及vSphere Client中改进的Developer Center。有一个新的VM硬件版本17,它具有更多新功能,例如用于PTP支持的精密时钟,vSGX和用于监视群集应用程序的虚拟看门狗。在接下来的几周中,我们将发布有关所有这些vSphere 7功能及更多功能的详细博客。请通过下面页脚中发布的链接和信息保持最新。结论正如您现在可能已经了解到的那样,vSphere 7确实是一个实质性的,改变游戏规则的版本。人们一直非常关注通过生命周期和安全改进来改善客户的生活。得益于我们强大的合作伙伴关系和客户,我们还将继续努力超越一切。而且,随着Kubernetes的加入,我们不会很快放慢速度。vSphere 7是用于混合云的技术。
驱动不兼容6.7,阵列卡不再兼容6G sas,旧千兆网卡,定制版待有兼容驱动后放出
vSphere with Kubernetes (称VwK)是 vSphere 7 里面一个功能选项,管理员可在 vCenter 里启用这个选项,然后可选择 vSphere 集群激活 VwK 功能。在启用 VwK 后,vSphere 集群中会部署 3 台虚拟机,每台虚拟机部署 Kubernetes 的 Master 节点,组成高可用的本地控制平面 (Local Control Plane) ;接着在每个 ESXi 节点的内核运行一个 Kubelet 进程(称作 Spherelet ),使 ESXi 成为 Kubernetes 的 Worker 节点。这样改造之后,vSphere 集群华丽转身成为支持现代应用 Kubernetes 集群。这个 vSphere 集群称为 “Supervisor Cluster”(主管集群)。
https://blogs.vmware.com/vsphere/2020/04/vsphere-7-new-generation-vsphere.html
本帖有隐藏内容,请您登录后查看。
http://www.virplus.com/thread-1261.htm
转载请注明:2020-4-11 于 VirPlus 发表
