רכיבי VMware בענן פרטי
ענן פרטי הוא סביבת VMware מבודדת (מארחי ESXi, vCenter, vSAN ו-NSX) שמנוהלת על ידי vCenter Server בדומיין ניהול. Google Cloud VMware Engine פורס עננים פרטיים עם הרכיבים הבאים של חבילת VMware:
- VMware ESXi: היפר-ויז'ור בצמתים ייעודיים
- VMware vCenter: ניהול מרכזי של סביבת ענן פרטי vSphere
- VMware vSAN: פלטפורמת אחסון מוגדרת בתוכנה, היפר-קונברגנטית
- VMware NSX Data Center: תוכנה לווירטואליזציה של רשת ולאבטחה
- VMware HCX: העברת אפליקציות ואיזון מחדש של עומסי עבודה בין מרכזי נתונים ועננים
אפשר לאחזר את פרטי הכניסה שנוצרו לרכיבי VMware stack מדף הפרטים של הענן הפרטי.
גרסאות של רכיבי VMware
סטאק VMware בענן פרטי כולל את גרסאות התוכנה הבאות:
| רכיב | גרסה | גרסה ברישיון |
|---|---|---|
| ESXi | עדכון 8.0 3f | VMware Cloud Foundation |
| vCenter | 8.0 Update 3e | VMware Cloud Foundation |
| vSAN | 8.0 Update 3 | VMware Cloud Foundation |
| NSX Data Center | 4.2.2.1 | VMware Cloud Foundation |
| HCX | 4.10.3 | VMware Cloud Foundation |
| Aria | 8.16 | VMware Cloud Foundation |
1VMware Engine פורס גרסה של HCX שזמינה ל- Google Cloud מ-VMware. אחרי שיוצרים ענן פרטי, מעדכנים את HCX כדי לאחזר את הגרסה העדכנית ביותר של HCX לסביבה שלכם.
ESXi
כשיוצרים ענן פרטי, מערכת VMware ESXi מותקנת בצמתים שהוקצו ב-Google Cloud VMware Engine. ESXi מספק את ה-hypervisor לפריסת מכונות וירטואליות (VM) של עומסי עבודה. הצמתים מספקים תשתית היפר-קומפקטית (מחשוב ואחסון) והם חלק מאשכול vSphere בענן הפרטי שלכם.
לכל צומת יש ארבעה ממשקי רשת פיזיים שמחוברים לרשת הבסיסית. VMware Engine יוצר מתג מבוזר של vSphere (VDS) ב-vCenter באמצעות ממשקי הרשת הפיזיים האלה כקישורי העלאה. ממשקי רשת מוגדרים במצב פעיל כדי להשיג זמינות גבוהה.
vCenter Server Appliance
vCenter Server Appliance (VCSA) מספק את פונקציות האימות, הניהול והתיאום ל-VMware Engine. כשיוצרים ופורסים את הענן הפרטי, VMware Engine פורס VCSA עם Platform Services Controller (PSC) מוטמע באשכול vSphere. לכל ענן פרטי יש VCSA משלו. הוספת צמתים לענן פרטי מוסיפה צמתים ל-VCSA.
כניסה יחידה (SSO) ב-vCenter
הבקר של שירותי הפלטפורמה המוטמע ב-VCSA משויך ל-vCenter Single Sign-On. שם הדומיין הוא gve.local. כדי לגשת ל-vCenter, משתמשים במשתמש ברירת המחדל, CloudOwner@gve.local, שנוצר עבורכם כדי לגשת ל-vCenter. אתם יכולים להוסיף את מקורות הזהויות שלכם ב-Active Directory או בפריסה מקומית ל-vCenter.
אחסון vSAN
ל-Clusters בעננים פרטיים יש אחסון vSAN all-flash מוגדר במלואו. האחסון all-flash מסופק על ידי כונני SSD מקומיים. כדי ליצור אשכול vSphere עם מאגר נתונים של vSAN, צריך לפחות שלושה צמתים מאותו סוג.
כברירת מחדל, ב-VMware Engine הדחיסה מופעלת רק ב-vSAN Datastore כשיוצרים אשכול חדש. כל אשכול בענן הפרטי מכיל מאגר נתונים של vSAN. אם הנתונים של המכונה הווירטואלית המאוחסנת לא מתאימים לדחיסה לצורך חיסכון במקום ב-vSAN, אפשר לבחור שלא להשתמש בחיסכון במקום במאגר הנתונים של vSAN. מידע נוסף על יעילות השימוש במרחב זמין במאמר About vSAN Space Efficiency.
בנוסף לתכונות המתקדמות של vSAN, VMware Engine מספק גם גישה להצפנת נתונים ב-vSAN Enterprise לנתונים באחסון ולנתונים בהעברה.
מדיניות אחסון ב-vSAN
מדיניות אחסון ב-vSAN מגדירה את הכשלים שניתן לסבול (FTT) ואת שיטת הסבילות לכשלים. אפשר ליצור כללי מדיניות חדשים לגבי אחסון ולהחיל אותם על מכונות וירטואליות. כדי לעמוד בהסכם רמת השירות, צריך לשמור על קיבולת פנויה של 20% במאגר הנתונים של vSAN.
בכל אשכול vSphere יש מדיניות אחסון vSAN שמוגדרת כברירת מחדל, והיא חלה על vSAN Datastore. מדיניות האחסון קובעת איך להקצות ולספק אובייקטים של אחסון במכונות וירטואליות במאגר הנתונים, כדי להבטיח רמת שירות מסוימת.
בטבלה הבאה מפורטים הפרמטרים של מדיניות האחסון ב-vSAN שמוגדרים כברירת מחדל:
| FTT | שיטת סבילות לכשלים | מספר הצמתים באשכול vSphere |
|---|---|---|
| 1 | RAID 1 (שיקוף) יוצר 2 עותקים |
3 ו-4 צמתים |
| 2 | RAID 1 (שיקוף) יוצר 3 עותקים |
5 עד 32 צמתים |
מדיניות אחסון נתמכת ב-vSAN
בטבלה הבאה מפורטים כללי מדיניות האחסון הנתמכים ב-vSAN ומספר הצמתים המינימלי שנדרש כדי להפעיל את כללי המדיניות:
| FTT | שיטת סבילות לכשלים | מספר הצמתים המינימלי שנדרש באשכול vSphere |
|---|---|---|
| 1 | RAID 1 (שיקוף) | 3 |
| 1 | RAID 5 (קידוד מחיקה) | 4 |
| 2 | RAID 1 (שיקוף) | 5 |
| 2 | RAID 6 (קידוד מחיקה) | 6 |
| 3 | RAID 1 (שיקוף) | 7 |
NSX Data Center
NSX Data Center מספקת וירטואליזציה של רשתות, מיקרו-פילוח ויכולות אבטחת רשת בענן הפרטי שלכם. אתם יכולים להגדיר שירותים שנתמכים על ידי NSX Data Center בענן הפרטי שלכם באמצעות NSX.
התכונות הזמינות
ברשימה הבאה מפורטות התכונות של NSX שנתמכות על ידי VMware Engine, לפי קטגוריה:
- מערכות מיתוג, DNS, DHCP ו-IPAM (DDI):
- אופטימיזציה של לימוד ARP ודיכוי שידור
- שכפול חד-נתיבי
- שכפול של הנתונים בשרת הראשי
- SpoofGuard
- ניהול כתובות IP
- חסימת כתובת IP
- רשתות משנה של כתובות IP
- מאגרי כתובות IP
- שרת DHCP IPv4
- ממסר DHCP IPv4
- כתובות קבועות/הקצאות סטטיות של כתובות ב-DHCP IPv4
- ממסר DNS או שרת proxy של DNS ב-IPv4
- תכנון מסלול:
- מסלולי Null
- ניתוב סטטי
- ניתוב מכשירים
- אמצעי בקרה של מסלולי BGP באמצעות מפות מסלולים ורשימות קידומות
- NAT:
- NAT בנתבים לוגיים צפון/דרום ומזרח/מערב
- Source NAT
- NAT של יעד
- N:N NAT
- חומת אש:
- Edge Firewall
- Distributed Firewall
- ממשק משתמש נפוץ של חומת אש
- מדורי חומת האש
- רישום ביומן של חומת האש
- כללים לחומת אש בשכבה 2 ובשכבה 3 עם שמירת מצב
- כללים מבוססי-תגים
- IPFIX מבוסס חומת אש מבוזרת
- מדיניות חומת אש, תגים וקבוצות:
- תיוג אובייקטים/תגי אבטחה
- קיבוץ לפי רשת
- קיבוץ לפי עומסי עבודה
- קיבוץ לפי כתובת IP
- קיבוץ לפי כתובת MAC
- VPN:
- Layer 2 VPN
- Layer 3 VPN (IPv4)
- שילובים:
- אבטחה ורשתות קונטיינרים באמצעות Tanzu Kubernetes Grid (TKG) בלבד
- שירות VMware Cloud Director
- VMware Aria Automation
- VMware Aria Operations for Logs
- אימות והרשאה:
- שילוב ישיר של Active Directory באמצעות LDAP
- אימות באמצעות OpenLDAP
- בקרת גישה מבוססת-תפקידים (RBAC)
- אוטומציה:
- API בארכיטקטורת REST
- Java SDK
- Python SDK
- ספק Terraform
- מודולים של Ansible
- מפרטים של OpenAPI/Swagger ומאמרי העזרה של ה-API שנוצרו אוטומטית עבור API בארכיטקטורת REST
- בדיקה:
- שיקוף יציאות
- Traceflow
- IPFIX מבוסס-מתג
מגבלות התכונה
לחלק מהתכונות של NSX Data Center יש תרחישי שימוש מאוד ספציפיים ברשת ובאבטחה. לקוחות שיצרו את החשבון שלהם ב-30 באוגוסט 2022 או לפני כן יכולים לפנות לתמיכת הלקוחות של Cloud כדי לבקש גישה לתכונות האלה לתרחישי השימוש האלה. Google Cloud
בטבלה הבאה מתוארות התכונות האלה, תרחישי השימוש המתאימים להן ואפשרויות חלופיות:
| תכונה | תרחיש שימוש | חלופה מומלצת | Google Cloud לקוחות בתאריך 30 באוגוסט 2022 או לפני כן | Google Cloud לקוחות אחרי 30 באוגוסט 2022 |
|---|---|---|---|---|
| Layer 3 multicast | ניתוב מולטיקאסט בשכבה 3 בכמה קפיצות | יש תמיכה בשידור מרובה (multicast) בשכבה 2 ברשת משנה של NSX. האפשרות הזו מאפשרת להעביר את כל תנועת המולטיקאסט לעומסי עבודה באותה רשת משנה של NSX. | נתמך | לא נתמך |
| איכות השירות (QoS) | אפליקציות VoIP שרגישות לזמן אחזור, שבהן מתרחשת הקצאת יתר של רוחב פס ברשת | לא נדרשת פעולה, כי VMware Engine מספק ארכיטקטורת רשת ללא הקצאת יתר. בנוסף, כל תגי QoS שיוצאים מענן פרטי מוסרים כשהם נכנסים ל-VPC דרך חיבור peering. | נתמך | לא נתמך |
| מלכודות של פרוטוקול Simple Network Management Protocol (SNMP) | פרוטוקול התראות מדור קודם להודעה למשתמשים על אירועים | אפשר להגדיר אירועים והתראות ב-NSX באמצעות פרוטוקולים מודרניים. | נתמך | לא נתמך |
| תכונות NAT כמו NAT ללא שמירת מצב, רישום ביומן של NAT ו-NAT64 | משמש ל-NAT ברמת הספק בפריסות גדולות של טלקומוניקציה | NSX תומך ב-NAT למקור/ליעד וב-N:N NAT בנתבים לוגיים צפון/דרום ומזרח/מערב. | נתמך | לא נתמך |
| רשתות מבוססות-כוונה ומדיניות אבטחה | משמש בשילוב עם VMware Aria ליצירת מדיניות חומת אש מבוססת-עסקים ב-NSX | אפשר להשתמש בתכונות של NSX Gateway ו-Distributed Firewall כדי ליצור מדיניות אבטחה ולאכוף אותה. | נתמך | לא נתמך |
| קבוצות מבוססות-זהות באמצעות Active Directory | פריסות של VDI שבהן המשתמש מחובר לאורח VDI ספציפי, יכולות להיות מזוהות ולקבל קבוצה מותאמת אישית של כללי חומת אש של NSX | אפשר להקצות למשתמשים תחנות עבודה ספציפיות באמצעות מאגר ההקצאות הייעודי. לאחר מכן משתמשים בתגי NSX כדי להחיל כללי חומת אש ספציפיים לפי מאגר. | נתמך | לא נתמך |
| כללים של מאפיינים בשכבה 7 (מזהה אפליקציה) | בשימוש בכללי חומת אש של NSX | משתמשים בNSX Service Groups כדי להגדיר קבוצה של יציאות ושירותים להפניה כשיוצרים כלל אחד או יותר של חומת אש. | נתמך | לא נתמך |
| כללים לחומת אש בשכבה 2 ובשכבה 3 בלי שמירת מצב | משמשת לחומות אש מהירות ברמה של חברת תובלה בפריסות גדולות של טלקומוניקציה | NSX תומך בכללים של שכבה 2 ושכבה 3 עם ביצועים גבוהים. | נתמך | לא נתמך |
| הוספת שירות NSX | הכלי משמש להפיכת הפריסה של שירותי רשת של צד שלישי לצפון/דרום או למזרח/מערב לאוטומטית, באמצעות NSX לאבטחה ולבדיקה של תנועה | בפריסות של ספקי אבטחה מצד שלישי, מומלץ ב-VMware Engine להשתמש במודל ניתוב במקום בהוספת שירות, כדי להבטיח ששדרוגים שגרתיים של השירות לא ישפיעו על זמינות הרשת. | פנייה ל-Cloud Customer Care | לא נתמך |
שימוש ברישיונות
Google Cloud היא שותפה של VMware Cloud. אתם יכולים לבחור סוג הנחה תמורת התחייבות לשימוש (CUD) שכולל רישיונות כחלק משירות VMware Engine המנוהל, או לבחור להביא רישיונות משלכם.
עדכונים ושדרוגים
בקטע הזה מתוארים שיקולים לגבי עדכונים ושדרוגים, ותחומי האחריות לניהול מחזור החיים של רכיבי תוכנה.
HCX
VMware Engine מטפל בהתקנה הראשונית, בהגדרה ובמעקב של HCX בעננים פרטיים. אחרי כן, אתם אחראים לניהול מחזור החיים של HCX Cloud ושל מכשירי שירות כמו HCX-IX Interconnect.
VMware מספקת עדכונים ל-HCX Cloud דרך שירות HCX שלה. אפשר לשדרג את HCX Manager ואת מכשירי שירות HCX שנפרסו מממשק HCX Cloud. כדי למצוא את תאריך סיום התמיכה בגרסת מוצר, אפשר לעיין בטבלת מחזור החיים של מוצרי VMware.
תוכנות אחרות של VMware
Google אחראית לניהול מחזור החיים של תוכנת VMware (ESXi, vCenter, PSC ו-NSX) בענן הפרטי.
עדכוני התוכנה כוללים:
- תיקונים: תיקוני אבטחה או תיקוני באגים שפורסמו על ידי VMware
- עדכונים: שינוי בגרסה משנית של רכיב במערך VMware
- שדרוגים: שינוי בגרסה הראשית של רכיב בסטאק VMware
Google בודקת תיקון אבטחה קריטי ברגע שהוא זמין מ-VMware. בהתאם להסכם רמת השירות, Google מפיצה את תיקון האבטחה לסביבות ענן פרטי תוך שבוע.
Google מספקת עדכוני תחזוקה רבעוניים לרכיבי תוכנה של VMware. במקרה של גרסה ראשית חדשה של גרסת התוכנה של VMware, Google עובדת עם הלקוחות כדי לתאם חלון זמן לתחזוקה מתאים לשדרוג.
אשכול vSphere
כדי להבטיח זמינות גבוהה של הענן הפרטי, מארחי ESXi מוגדרים כאשכול. כשיוצרים ענן פרטי, VMware Engine פורס רכיבי ניהול של vSphere באשכול הראשון. VMware Engine יוצר מאגר משאבים לרכיבי ניהול ומפריס את כל מכונות הניהול הווירטואליות במאגר המשאבים הזה.
אי אפשר למחוק את האשכול הראשון כדי לצמצם את הענן הפרטי. ב-vSphere, נעשה שימוש ב-vSphere HA כדי לספק זמינות גבוהה למכונות וירטואליות. הסבילות לכשלים (FTT) מבוססת על מספר הצמתים הזמינים באשכול. הנוסחה Number of nodes = 2N+1, כאשר N הוא FTT, מתארת את הקשר בין הצמתים הזמינים באשכול לבין FTT.
לעומסי עבודה בסביבת ייצור, מומלץ להשתמש בענן פרטי שמכיל לפחות 3 צמתים.
עננים פרטיים עם צומת יחיד
כדי לבצע בדיקות ואימותים של היתכנות עם VMware Engine, אתם יכולים ליצור ענן פרטי שמכיל רק צומת ואשכול אחד. VMware Engine מוחק עננים פרטיים שמכילים רק צומת אחת אחרי 60 יום, יחד עם מכונות וירטואליות ונתונים משויכים של עומסי עבודה.
אפשר לשנות את הגודל של ענן פרטי עם צומת יחיד כך שיכיל 3 צמתים או יותר. במקרה כזה, VMware Engine מתחיל לשכפל את נתוני vSAN ולא מנסה יותר למחוק את הענן הפרטי. כדי לעמוד בדרישות לכיסוי על סמך הסכם רמת השירות, ענן פרטי צריך להכיל לפחות 3 צמתים ולהשלים שכפול נתונים של vSAN.
תכונות או פעולות שדורשות יותר מצומת אחת לא יפעלו עם ענן פרטי של צומת אחת. לדוגמה, לא תוכלו להשתמש ב-vSphere Distributed Resource Scheduler (DRS) או ב-High Availability (HA).
מגבלות על אשכולות vSphere
בטבלה הבאה מפורטות מגבלות של אשכול vSphere בעננים פרטיים רגילים שעומדים בדרישות של SLA:
| משאב | הגבלה |
|---|---|
| מספר הצמתים המינימלי ליצירת ענן פרטי (האשכול הראשון) | 3 |
| מספר הצמתים המינימלי ליצירת אשכול | 3 |
| מספר הצמתים המקסימלי בכל אשכול | 32 |
| מספר הצמתים המקסימלי לכל ענן פרטי | 96 |
| המספר המקסימלי של אשכולות בענן פרטי | 21 |
בטבלה הבאה מפורטות מגבלות של אשכולות vSphere בעננים פרטיים מורחבים:
| משאב | הגבלה |
|---|---|
| מספר הצמתים המינימלי ליצירת ענן פרטי מורחב (האשכול הראשון) | 6 |
| מספר הצמתים המינימלי ליצירת אשכול מורחב | 6 |
| מספר הצמתים המקסימלי לכל אשכול מורחב | 30 |
| מספר הצמתים המקסימלי לכל ענן פרטי מורחב | 96 |
| מספר האשכולות המקסימלי לכל ענן פרטי מורחב | 16 |
תמיכה במערכת הפעלה של אורח
אתם יכולים להתקין מכונה וירטואלית עם כל מערכת הפעלה אורחת שנתמכת על ידי VMware לגרסת ESXi בענן הפרטי שלכם. רשימה של מערכות הפעלה אורחות נתמכות מופיעה במדריך התאימות של VMware למערכות הפעלה אורחות.
תחזוקת תשתית VMware
לפעמים צריך לבצע שינויים בהגדרות של תשתית VMware. החיובים האלה יכולים להתבצע כל חודש או כל חודשיים, אבל התדירות צפויה לרדת עם הזמן. בדרך כלל אפשר לבצע את סוג התחזוקה הזה בלי להפריע לשימוש הרגיל בשירותים.
במהלך תקופת תחזוקה של VMware, השירותים הבאים ממשיכים לפעול ללא השפעה:
- מישור הניהול ואפליקציות של VMware
- גישה ל-vCenter
- כל הרשתות והאחסון
- כל התנועה בענן
אחסון חיצוני
אפשר להגדיל את נפח האחסון של אשכול Google Cloud VMware Engine על ידי הוספת עוד צמתים. אפשרות אחרת היא להשתמש באחסון חיצוני אם רוצים רק להגדיל את נפח האחסון. הגדלת האחסון מגדילה את קיבולת האחסון בלי להגדיל את קיבולת המחשוב של האשכול, וכך מאפשרת לכם להגדיל את המשאבים באופן עצמאי.
לקבלת מידע נוסף על שימוש באחסון חיצוני, אפשר לפנות לתמיכה של Google או לנציג המכירות שלכם.