在企業級伺服器虛擬化平臺市占最高的VMware vSphere,在今年4月中宣布推出6.7新版,距離上次發布大改版(6.5版),已經有將近1年半之久。

而在最新版本當中,vSphere強化的特色,包含使用者操作體驗、應用程式支援,以及混合雲管理等多種層面,目的是希望提升系統使用效率與安全性,具備簡易、有效率的大量管理機制,更廣泛的內建防護能力,以及支援更多類型的工作負載,橫跨人工智慧、機器學習、大數據、關鍵企業應用系統、雲端原生應用系統、記憶體內加速系統、3D繪圖處理作業。

同時,vSphere對於用戶端管理介面vSphere Client,也提供了操作功能更為強化的環境,可管理其他產品,像是VMware自家的網路虛擬化平臺NSX、儲存虛擬化平臺vSAN、更新伺服器vSphere Update Manager,以及第三方應用軟體。

從vSphere 6.5版開始,VMware提供的vSphere Client管理工具,已經從原本的Windows程式,改為基於HTML5技術的網頁主控臺介面,操作反應速度較佳,更易於使用,而在6.7版vSphere當中,不只是支援系統既有的工作流程,也涵蓋到NSX、vSAN與vSphere Update Manager的管理。

管理平臺執行規模可大幅擴充,單一體系可涵蓋更多臺vCenter Server

首先,在系統管理功能的部份,VMware對於vCenter管理伺服器虛擬設備(vCenter Server Appliance,vCSA),增加了幾支API,能夠改善部署vCenter部署的效率與操作體驗。舉例來說,IT人員如果要部署多臺vCenter時,可以基於模板來進行,管理vCenter、執行管理伺服器的備份與還原,都將變得更為簡便。

另一個新的特色,則是vCenter強化連結模式(vCenter Enhanced Linked Mode),在多臺vCenter的連結之下,IT人員只需登入其中一臺vCSA或vCenter Server,即可針對整個vCenter Server系統環境,執行各種資產的檢視與管理作業,而在vCenter Server Appliance內嵌Embedd Platfrim Service Controller(PSC)的狀態下,可運用vCenter Enhanced Linked Mode連上不同vCenter Server,便於使用者連上多臺vCenter,而透過vCenter Enhanced Linked Mode,可串連15臺vCenter Server Appaliance,而且顯示為單一資產。

基於這樣的連接,vCenter Server不需透過外部的PSC或是負載平衡設備,即可連接與管控,而在這樣的架構下,最多可串連10臺vCSA系統,以及8臺vCenter Server系統。

在vCenter Server內嵌embedded Platform Services Controller的管理平臺當中,VMware新增了強化連結模式(Enhanced Linked Mode,ELM),這項特色的名稱很長,稱為vCenter Embedded Linked Mode for a vCenter Server Appliance with Embedded Platform Services Controller,可簡稱為vCenter Embedded Linked Mode。
基於這樣的橫向連結方式,vCenter Server Appliance不需配置外部的Platform Services Controller,或是負載平衡器來提升系統服務的可靠性,減少需管理與維護的節點數量。
這項機制還可以完整、原生支援vCenter High Availability(vCenter HA)的叢集環境,可將三臺vCenter Server視為一臺。同時,vCenter Embedded Linked Mode還可以針對vSphere,提供單一登入整合的網域。

 

安全性大幅強化:提供虛擬TPM裝置、簡化VM加密應用方式

接著,則是對於安全性的強化,vSphere 6.7特別支援了TPM 2.0的硬體身分驗證裝置,以及Virtual TPM 2.0的虛擬裝置,協助防護Hypervisor與虛擬機器執行的作業系統,確保伺服器虛擬化環境的完整性,防止遭到竄改或破壞,阻撓系統載入未經授權的元件,並能充分支援伺服器與PC作業系統內建的安全功能。

TPM裝置的作用,主要是在硬體當中安全存放身分資訊,但只能儲存幾KB的資料量,該公司資深技術行銷架構師Mike Foley在其部落格文章當中表示,實體TPM裝置的設計,都是針對單臺個人電腦或伺服器本身的應用,而非為了支援成千上百臺的虛擬機器而來,同時,它也是序列式存取的裝置,處理速度相當緩慢。

另一個安全性特色的突破,則是與資料加密的功能有關,這也是vSphere近期改版的重點特色,例如,從6.5版起,vSphere開始提供VM與vSAN加密,以及vMotion加密,而到了6.7版,VMware繼續予以強化,並且使其更易於管理。

自6.5版開始,vSphere提供多種加密防護,此圖為整個虛擬化平臺的加密架構,區分成vSphere自身的ESXi、vCenter Server,以及第三方的金鑰管理伺服器等部分。

例如,VM加密的設定流程現在變得更簡單,透過滑鼠右鍵即可執行,藉此保護靜態資料與動態資料,防止未經授權的存取行為;vMotion的加密,可跨越多臺、不同版本的vCenter Server,在虛擬機器遷移到其他伺服器、資料中心或雲端服務的過程當中,提供加密防護。

而對於特定作業系統的安全防護特色,vSphere也能與其搭配使用。像是微軟發展的虛擬化基礎安全技術(Virtualization Based Security,VBS),並實作在Hyper-V、Windows 10與Windows Server 2016。啟用這類安全機制後,可運用OS內建的Credential Guard,將使用者帳號的雜湊資訊,保存在Windows執行實例的存取範圍或記憶體之外,防止雜湊資訊濫用的攻擊。

現在vSphere 6.7開始支援VBS,針對安裝Windows作業系統的虛擬機器(虛擬硬體需升級到第14版、VM本身需設定安全開機),提供更多系統開機、虛擬層運作與Windows執行期間的保護。

先前在Windows Server 2016、Windows 10提供的虛擬化安全技術(VBS),如今也在vSphere環境當中開始提供支援,從6.7版起,VMware可以運用這項系統防護機制,以及自家發展的虛擬TPM,確保Windows虛擬機器的安全。

強化GPU、儲存、網路等層面的支援,提升系統效能

支援更多類型應用系統的執行需求,同樣是vSphere 6.7主打的重點。例如,VMware在Nvidia Grid vGPU技術的應用,提供了更多進階功能,像是針對使用GPU來加速的虛擬機器環境,IT人員現在可以執行暫停(suspend)、回復(resume)等機制。相較之下,在先前vSphere版本下,虛擬機器如果搭配vGPU,均無法支援這項功能。

在儲存與網路應用的部份,vSphere新版支援許多技術,像是持續記憶體(Persistent Memory,PMEM)、英特爾NVMe裝置管理(Volume Management Device,VMD)、遠端直接記憶體存取(Remote Direct Memory Access,RDMA)。

首先,就固態儲存的支援來說,vSphere原本就能運用DRAM記憶體,以及Flash快閃儲存裝置,來增進系統效能,到了6.7版,VMware也開始支援持續記憶體,或是所謂的非揮發式記憶體模組(NVDIMM)。在這樣的硬體搭配與軟體支援下,整個虛擬化系統可獲得超快的儲存I/O效能,同時,vSphere也讓虛擬機器裡面的作業系統,能夠存取到這些持續記憶體,進而提升應用系統的效能。

針對主機端的硬碟存取,vSphere 6.7對於已刪除的區塊儲存空間(Automatic UNMAP)可設定自動回收;系統若是使用疏鬆類型虛擬磁碟(sparse virtual disk format)時,而產生了快照SESparse,新版vSphere也提供自動回收空間的機制。

隨著越來越多的伺服器採用4K原生磁區格式(4Kn)的硬碟,vSphere 6.7也正式提供支援,使用時,這類硬碟還可模擬成512 Bytes的磁區格式,並繼續允許虛擬機器存取此種磁區格式的硬碟。

而對於共用儲存環境的支援,像是Vmware自身所發展的Virtual Volumes(VVols),從6.7版vSphere起,開始支援IPv6與SCSI-3持續保留(persistent reservations)。前者可讓用戶將VVols建置在IPv6網路環境上,後者則是針對不同主機之間的多個虛擬機器,能夠持續共用彼此分享的硬碟或Volumes(常見於Windows Server容錯移轉叢集環境)。此外,在VVols當中,現在也能移除原始裝置對應類型的虛擬磁碟。

在網路存取技術的部份,新版vSphere積極支援多種RDMA應用形式,像是RoCE(RDMA over Converged Ethernet)、PV-RDMA(Para-virtualized RDMA),以及iSER(iSCSI Extension for RDMA)。

以RoCE的支援而言,若是伺服器安裝支援RoCE的網路介面,vSphere將自動啟用相關功能,並且將網路流量負載卸載到該項硬體裝置處理,可降低延遲、提高吞吐能力。而PV-RDMA主要支援的目標是Linux虛擬機器,能夠協助這類型VM也能享受到RoCE支援的好處。 

至於iSER的部份,則是針對VMware底層主機(ESXi)搭配外部儲存系統的情況,提供支援iSER targets的存取方式,而能夠運用RoCE來卸載處理器負載,以及加速網路互連效率。VMware提供了iSER initiator的功能,讓ESXi從儲存層就能連結支援iSER的儲存系統。

新版vSphere開始支援RoCE,因此,兩臺ESXi主機之間,如今可透過RDMA HCA(Host Channel Adapter)網路介面的串連,來執行直接的記憶體存取,傳輸效能更快。

在網路加速存取的部份,先前微軟Hyper-V較強調支援RDMA、RoCE,VMware今年推出的vSphere 6.7,也開始主打這系列的支援,提供軟體形式FCoE介面卡,以及iSCSI Extension for RDMA(iSER),並且能夠穿透伺服器虛擬化平臺的核心層,以及作業系統層,加速整體工作負載的執行效能。

另外,vSphere 6.7也首度開始提供軟體形式的FCoE initiator(SW-FcoE initiator),支援採用光纖通道通訊協定的乙太網路(Fibre Channel over Ethernet,FCoE),可在乙太網路控制器的環境當中,建立FcoE連線。而且,還能借助基於優先順序的流向控制(Priority-based Flow Control,PFC)提供不會因此而導致耗損的乙太交織網路(Ethernet fabric),此外,這裡的支援,還可用在Fabric模式與VN2VN(Virtual N_Port to Virtual N_Port)模式。

圖中是vSphere新版對於 FCoE的支援層級,橫跨主機、網路、儲存,提供控制介面、驅動程式、裝置對應。

持續改善混合雲支援,提升跨雲環境的VM線上遷移功能與相容性

而在混合雲環境的支援,vSphere新增了vCenter混合連結模式(vCenter Hybrid Linked Mode),可橫跨不同版本vSphere,以及私有雲當中的vSphere、公有雲的vSpehre(像是VMware Cloud on AWS、IBM Cloud for VMware Solutions,以及其他參與VMware Cloud Provider計畫的公有雲),提供統一的整合檢視與管理介面。

對於跨雲的虛擬機器遷移作業,vSphere 6.7新增了冷遷移與熱遷移的功能,降低跨雲環境的管理難度,提供完整、運作不中斷的混合雲應用環境。

另一個與跨資料中心遷移有關的新特色,則是Per-VM EVC(Enhanced vMotion Compatibility)以因應不同世代處理器的執行環境變化。VMware會將EVC模式納入虛擬機器本身的屬性,並讓每臺虛擬機器在橫跨多個叢集與電源開關週期的狀況下,持續執行EVC模式來配合。

在跨越不同vCenter Server的vSphere系統建立功能當中,vSphere 6.0提供了Cross-vCenter provisioning的機制,可用於不同版本的vCenter Server,而今年新推出的6.7版,對於這種混合多種版本vCenter Server的環境建立,提供了更多維運作業需要的功能,像是不停機線上遷移vMotion、完全複製、冷遷移,可支援VMware Cloud on AWS的混合雲應用。

產品資訊

VMware vSphere 6.7
●原廠:VMware(02)8758-2804
●建議售價:廠商未提供
●Hypervisor系統需求:雙核心64位元x86處理器(支援Intel VT-x或AMD RVI)、4GB記憶體、1GB硬碟空間
●vCenter Server Appliance系統需求:2顆vCPU、10 GB記憶體、250 GB硬碟空間、ESXi 5.5
●Platform Services Controller Appliance系統需求:2顆vCPU、4 GB記憶體

【註:規格與價格由廠商提供,因時有異動,正確資訊請洽廠商】


Advertisement

更多 iThome相關內容