前言

日前 (2017/4/18),VMware 官方正式發佈 vSAN 第六代 VMware vSAN 6.6 Release 資訊。雖然距離上一版 vSAN 第五代 VMware vSAN 6.5 發佈才間隔短短五個月。但是,這次發佈的 vSAN 第六代總共新增 23 項特色功能!!

有關過去每一代 vSAN 版本的新增特色功能資訊,請參考站長歷來撰寫的 vSAN 專欄文章:
圖、VMware Virtual SAN版本演進及新增功能示意圖


那麼,接下來站長將不定期針對第六代的 vSAN 6.6 深入剖析各項特色功能:

【簡介】(Introduction)




【安全性】(Security)




【管理】(Management)

在第 6 代 vSAN 版本當中,關於「管理」(Management)的部分共新增 11 項特色功能(如下所示),舉例來說,在過往的 vSAN 版本運作環境中,整個 vSAN 軟體定義儲存架構仍以 vCenter Server 管理平台為主,倘若 vCenter Server 發生故障損壞事件,或 vSphere Web Client 服務無法正常運作時,雖然不致影響運作在 vSAN 儲存資源上的 VM 虛擬主機,但是後續將無法進行任何管理動作,例如,觀看 vSAN 叢集節點主機的健康情況。

VMware vSAN 6.6 Journey (3) - Management
  • Proactive Cloud Health Checks
  • vSAN Configuration Assist
  • vSphere Update Manager Integration (vSAN 6.6.1)
  • Highly Available Control Plane for Health Checks
  • Health and Performance Monitoring
  • Performance Diagnostics (vSAN 6.6.1)
  • vRealize Operations Management Pack for vSAN
  • Stretched Cluster Witness Replacement
  • Host Evacuation
  • Storage Device Serviceability (vSAN 6.6.1)
  • vSAN API and PowerCLI


【部署】(Deployment)

在第 6 代 vSAN 版本當中,關於「部署」(Deployment)的部分共新增 3 項特色功能(如下所示)。過去,在建構舊版 vSAN 軟體定義儲存運作環境時,最令 IT 管理人員感到困擾的便是建構的 vSAN 叢集中,所有 vSAN 叢集節點主機之間必須透過「多點傳送」(Multicast)進行溝通,並未支援企業及組織內部常用的「單點傳送」(Unicast)網路環境。

VMware vSAN 6.6 Journey (4) - Deployment
  • Easy Install
  • Multicast Dependency Removed
  • Extensibility


【可用性】(Availability)

在第 6 代 vSAN 版本當中,關於「可用性」(Availability)的部分共新增 3 項特色功能(如下所示)。雖然,從第 2 代 vSAN 版本開始,vSAN 叢集便已經能夠建立「延伸叢集」(Stretched Cluster)的運作架構,然而新版 vSAN 6.6叢集環境能夠結合本地端故障保護機制,讓 vSAN 叢集站台之間的容錯機制更具彈性,甚至能夠結合親和性規則讓儲存原則的管理更具備靈活性。

VMware vSAN 6.6 Journey (5) - Availability
  • Stretched Cluster Local Failure Protection
  • Stretched Cluster Site Affinity
  • Degraded Device Handling



【效能】(Performance)

在第 6 代 vSAN 版本當中,關於「效能」(Performance)的部分共新增 3 項特色功能(如下所示)。舉例來說,在新版 vSAN 6.6 叢集運作環境中,vSAN 叢集節點主機支援採用最新 Intel 3D XPoint NVMe 快閃儲存(Intel Optane P4800X)。此外,根據 VMware 官方進行的效能測試結果顯示,與舊版 vSAN 6.5 All-Flash 運作架構相較之下,新版 vSAN 6.6 All-Flash 架構整體儲存效能將能提升 50 % 或更高。

VMware vSAN 6.6 Journey (6) - Performance
  • Deduplication and Compression
  • Rebuild and Resynchronization Enhancements
  • Checksum, De-Staging, iSCSI



【軟體授權】(Software Licensing)

倘若,企業及組織使用的是舊有 vSAN 版本的話,那麼可能會發現過需要使用進階版或企業版才能使用 All-Flash 全快閃儲存的運作架構,然而從第 5 代 vSAN 6.5 版本開始,所有 vSAN 軟體授權版本皆可以使用 All-Flash 全快閃儲存的運作架構,即使購買的是 ROBO(Remote Office / Branch Office),這種用於企業或組織遠端辦公室的軟體授權版本也支援,因此,即便是由 2 台 vSAN 節點主機所建構的小型 vSAN 運作環境,也能夠使用 All Flash 的硬體運作架構,為需要高 IOPS 儲存效能的分公司或小型 vSAN 環境提供解決方案。

VMware vSAN 6.6 Journey (7) - Software Licensing
  • vSAN 6.6 Software Licensing



【VMworld 2017 vSAN Session】


前言

當企業及組織使用採用舊有 vSAN 版本的話,那麼可能會發現過需要使用進階版企業版才能使用 All-Flash 全快閃儲存的運作架構,然而從第 5 代 vSAN 6.5 版本開始,所有 vSAN 軟體授權版本皆可以使用 All-Flash 全快閃儲存的運作架構,即使購買的是 ROBO(Remote Office / Branch Office),這種用於企業或組織遠端辦公室的軟體授權版本也支援,因此,即便是由 2 台 vSAN 節點主機所建構的小型 vSAN 運作環境,也能夠使用 All Flash 的硬體運作架構,為需要高 IOPS 儲存效能的分公司或小型 vSAN 環境提供解決方案。



vSAN 6.6 軟體授權

值得注意的是,雖然開放所有 vSAN 軟體授權版本都支援採用 All-Flash 全快閃儲存架構,但是在 All Flash 運作架構中進階特色功能,例如,「重複資料刪除及壓縮」(Deduplication & Compression)、「RAID5/6 Erasure Conding」特色功能,仍需要採用「進階版或企業版」vSAN 軟體授權才能夠使用。

倘若,企業或組織希望達到更高可用性的 vSAN 運作架構,需要建置「延伸叢集」並結合「本地端故障保護機制」特色功能時,那麼只有採用「企業版」(Enterprise)的 vSAN 軟體授權才能使用這些進階特色功能。

圖、VMware vSAN 6.6 軟體授權特色功能清單

原則上,vSAN 軟體授權需要額外購買並以「per-CPU」的方式計價,同時企業或組織購買的 VMware vSphere 或 VMware vSphere with Operations Management 軟體授權,並未包含 vSAN 軟體授權。此外,若採購的是 vSAN for ROBO 軟體授權版本的話,則是以每「25 VM 虛擬主機」為採購單位。

倘若,企業或組織需要建購 VDI 虛擬桌面運作架構的話,可以購買 vSAN for Desktop Advanced 軟體授權,因為此版軟體授權將包含 VMware Horizon Advaned 及 vSAN Enterprise 版本,讓企業及組織可以在建構 VDI 虛擬桌面的同時,便於輕鬆導入 vSAN 軟體定義儲存技術。

圖、vSAN for ROBO 運作架構示意圖

活動簡介

繼 HITCON CMT Mission: Regain The Initiative 的前哨站,悄悄揭開了台灣年度資安盛會 HITCON Pacific 的序幕,我們可以看到今年整個攻擊的手法與規模都趨於泛化,表示威脅將越來越貼近大眾的日常生活,從水電、交通運輸到工廠生產系統、關鍵基礎設施及銀行等,或具有聯網能力之 IoT 設備,其遭受網路攻擊的機會大幅增加。

資安不再是發生在新聞中的實境秀,所有人都身在其中。去年我們邀請許多國際資安專家談論資安戰略與發展進程,今年 HITCON Pacific 的主題將是 Cyber Force Awakens。我們將呼籲政府、企業乃至於公民等各界取得數位資產的主動權,建立網路力量與資安產業生態系。並邀請國內外專家從資安技術、政策與法規面,探討「數位國土」所面臨的威脅與防禦,為聽眾帶來國際最新的資安觀點及因應對策。

會議中除了有重量級講師,將與國際 CTF 全球 10 強攻防總決戰共同舉辦,我們企盼您加入這項行列,與世界級 CTF 選手共同點亮台灣資安軟硬實力。



活動資訊

  • 日期: 2017 年 12 月 4 ~ 6 日 (星期一 ~ 三)
  • 時間: 9:00 ~ 18:00
  • 地點: 台北市境內,如已達開課人數標準,主辦單位將儘快公布地點
  • 報名: 活動報名
  • 優惠方案 1 (Training 舊生報名): 凡參加過 HITCON Training 的舊生,報名 HITCON Winter Training 2017 可享門票九折優惠!(舊生報名無須透過 KKTIX 系統,請以 E-mail 方式諮詢窗口)
  • 優惠方案 2 (團體報名):凡 2 人(含以上) 同時報名,每人可享門票九折優惠! (團體報名無須透過 KKTIX 系統,請以 E-mail 方式諮詢窗口)



活動內容

本次教育訓練活動共有下列六大類別,而站長的主題教育訓練題議題為「類別五: Windows Security」:
  • 類別一: Malware
  • 類別二: Exploitation Technique
  • 類別三: Incident Response
  • 類別四: Web Security
  • 類別五: Windows Security
  • 類別六: SCADA Security

題目: Anti pass the hash / ticket attack on Windows Server 2016

時間: 2017 年 12 月 06 日

報名: 活動報名

簡介:
過去,雖然企業及組織在整個 IT 基礎架構中,已經部署許多增強安全性的相關運作機制或硬體設備,除了確保線上營運服務不停止之外也保護企業機敏資料不外洩,然而隨著時間的推移駭客攻擊企業及組織的方法也不斷演變及翻新,惡意攻擊的方式也從過往正面對決改採潛伏並轉而朝向最弱環節下手。簡單來說,相較於企業及組織內強調高安全性高效能的線上營運伺服器來說,惡意攻擊方式則改為朝向安全防護相對薄弱的使用者端電腦下手。

在現代化 IT 基礎架構中,為了達到統一且集中式管理的使用者身分驗證機制,在企業及組織當中便會建置目錄服務以達成「單一登入」(Single Sign On,SSO)的目的,一般來說較廣為採用的目錄服務有 Active Directory、OpenLDAP……等,以便使用者只要登入並通過使用者身分驗證機制之後(也就是通過所謂的 3A 程序),那麼就能順利存取企業及組織內部中各式各樣的服務了。

雖然,企業及組織透過目錄服務達到 SSO 單一登入,讓使用者只要通過使用者身分驗證程序後便能使用區網內的各項服務。然而,在資訊攻防上面「操作便利性」與「安全性」永遠處於天秤之間不同的兩端,因此針對 SSO 單一登入的惡意攻擊方式便應運而生,也就是大家耳熟能詳的「傳遞雜湊」(Pass-the-Hash,PtH)「傳遞票證」(Pass-the-Ticket,PtT)攻擊。

為了能夠有效阻擋使用者密碼遭受未經授權的認證竊取攻擊,從 Windows 10 及 Windows Server 2016 版本開始,導入新的安全性機制稱之為「Credential Guard」,它會使用虛擬式安全性的方式來隔離使用者帳號的密碼,因此只有具備特殊權限的系統軟體才能夠存取它們,同時透過保護 NTLM 密碼雜湊以阻擋傳遞雜湊攻擊,或保護 Kerberos 票證以阻擋傳遞票證這種未經使用者授權存取的認證竊取攻擊。


課程摘要:
1) 何謂 3A 程序 驗證(Authentication)、授權(Authorization)、稽核(Accounting)。
2) 何謂傳遞雜湊(Pass-the-Hash,PtH)及傳遞票證(Pass-the-Ticket,PtT)攻擊。
3) 實作演練 Pass-the-Hash 及 Pass-the-Ticket 攻擊。
4) 說明 Credential Guard 概觀及運作方式。
5) 啟用 Credential Guard 安全防護機制。
6) 實作演練 Credential Guard / Remote Credential Guard 安全防護機制抵擋 Pass-the-Hash 及 Pass-the-Ticket 攻擊。



學員先修技能:


學員自備工具:
  • 筆記型電腦,筆電要求
  • CPU 處理器支援 Intel VT-x/EPT 或 AMD-V/NPT。
  • 可運作 Windowds 10 企業版/教育版或 Windows Server 2016 虛擬主機。
  • UEFI 2.3.1 或後續版本。

前言

第 6 代 vSAN 版本當中,關於「效能」(Performance)的部分共新增 3 項特色功能(如下所示)。舉例來說,在新版 vSAN 6.6 叢集運作環境中,vSAN 叢集節點主機支援採用最新 Intel 3D XPoint NVMe 快閃儲存(Intel Optane P4800X)。此外,根據 VMware 官方進行的效能測試結果顯示,與舊版 vSAN 6.5 All-Flash 運作架構相較之下,新版 vSAN 6.6 All-Flash 架構整體儲存效能將能提升 50 % 或更高。






Performance 新增特色功能

Deduplication and Compression

透過「重複資料刪除」(Deduplication)「壓縮」(Compression)機制,可以有效降低寶貴的快閃記憶體儲存空間耗用,以提升快閃記憶體每 GB 的可用成本。

簡單來說,透過重複資料刪除機制,將會有效針對快取層到容量層之間資料的「De-Staged」方式,以最大程度減少儲存空間的開銷。至於壓縮機制,則是針對「中繼資料」(Metadata)進行壓縮,以便降低 VM 虛擬主機和 vSAN 的「Backend I/O」開銷。

因此,在這 2 種機制的幫助之下,除了降低 vSAN 叢集工作負載之外也提供更可預設的運作效能,甚至當資料寫入行為是「順序寫入」(Dequential Write)時效果將更加明顯。

圖、vSAN 重複資料刪除機制運作示意圖

圖、vSAN 壓縮機制運作示意圖



Rebuild and Resynchronization Enhancements

在 VMware vSAN 軟體定義儲存環境中,所有資料將會自動分散在不同 vSAN 節點主機之間,以達到服務高可用性及高運作效能。然而,在某些情況下 vSAN 節點主機之間需要大量同步資料,例如,將儲存原則由原本的 RAID-1 變更為 RAID-5 時,在  vSAN 節點主機之間的 vSAN 網路流量將會大幅增加。

另外一種情況是 vSAN 進行「修復」(Repair) 操作時,也會造成 vSAN 節點主機之間的 vSAN 網路流量大幅增加,舉例來說,當某台 vSAN 節點主機因為發生硬體元件故障損壞事件,此時該台 vSAN 節點主機相關的物件及元件,將會被 vSAN 叢集標示為「Absent」,並且預設情況下會「等待 60 分鐘」之後,倘若標示為 Absent 的物件及元件仍未修復時,便會觸發自動修復機制。

這樣的修復程序設計原因在於,有時 vSAN 節點主機或許只是因為套用安全性更新重新啟動,或短暫的發生小小意外狀態導致暫時離線,但在很短時間內便會自動復原良好的運作狀態。簡單來說,vSAN 希望能夠在合理的時間內等待物件及元件復原,以避免 vSAN 節點主機之間產生大量的網路流量。

此外,當 vSAN 節點主機的可用儲存空間「少於 20%」時,vSAN 將會自動嘗試將資料遷移至其它較多可用空間的 vSAN 節點主機。

值得注意的是,針對 vSAN 修復程序產生的大量網路流量,雖然 vSAN 支援「節流」功能來限制修復程序產生的網路流量,然而此舉除了增加重建程序的執行時間之外,同時也會增加停機的風險。所以,VMware 官方最佳建議作法是保留預設值「禁用節流」(Throtting Disabled)功能較佳。

圖、vSAN 復原程序運作示意圖



Checksum, De-Staging, iSCSI

在新版 vSAN 運作環境中,內建原生的「Checksum」機制有助於確保資料完整性,同時也針對資料讀取和寫入路徑進行最佳化,以避免多餘的 Table Lookup 操作而影響運作效能。

雖然,在極少數的情況下,中繼資料的增加可能會對 VM 虛擬主機的 I/O 儲存效能,以及同步操作產生些微的效能影響,例如,大量執行資料刪除作業時,便會大量增加中繼資料。因此,在新版 vSAN 6.6 當中透過「De-Staging」機制避免中繼資料的累積,以避免「寫入密集型」(Write Intensive)的工作負載,因為中繼資料的不斷累積進而影響運作效能。

此外,在 vSAN 運作環境中負責 iSCSI 服務的 FreeBSD 版本,已經升級至新版 FreeBSD 10.3 版本,確保 vSAN 6.6 當中的 iSCSI 服務能夠提供更佳的 iSCSI 運作效能。

圖、vSAN iSCSI Target 運作示意圖

課程簡介

  • 熟悉雲端運算定義 五種服務特徵、四種部署模型、三種服務類型。
  • 針對建置企業私有雲網路環境時,該如何規劃 VM 虛擬主機的各種傳輸流量,如 VM 網路服務流量、高可用性遷移流量、容錯移轉流量…等以避免造成傳輸瓶頸。
  • 從針對不同儲存設備類型特性的認識,到私有雲運作環境該如何規劃及計算儲存設備 IOPS 效能,以避免資料傳輸瓶頸產生 VM 虛擬主機運作效能不佳的情況。



課程資訊

日期: 2017/12/09 ~ 2018/01/20
時間: 每週六 09:00 ~ 12:00、13:30 ~ 16:30
地點: 國立臺北商業大學 (臺北市中正區濟南路一段321號)
網址: Hyper-V 私有雲規劃與建置實務班



網管人雜誌

本文刊載於 網管人雜誌第 140 期 - 2017 年 9 月 1 日出刊,NetAdmin 網管人雜誌 為一本介紹 Trend Learning 趨勢觀念、Solution Learning 解決方案、Technology Learning 技術應用的雜誌,下列筆記為本站投稿網管人雜誌獲得刊登的文章,網管人雜誌於每月份 1 日出刊您可於各大書店中看到它或透過下列圖示連結至博客來網路書店訂閱它。





文章目錄

前言
容錯移轉叢集新功能
          滾動式升級(Rolling Upgrade)
          雲端見證(Cloud Witness)
          健康服務(Health Service)
          容錯網域感知(Fault Domain Awareness)
          VM 虛擬主機負載平衡(VM Load Balancing)
實戰 – 雲端見證
實戰 – VM 虛擬主機負載平衡
          負載平衡模式 – 新叢集節點加入
          負載平衡模式 – 自動負載平衡
結語





前言

於去年 2016 年 10 月發佈的新一代 Windows Server 2016 雲端作業系統中,已經帶給大家許多亮眼的新增特色功能,例如,S2D 軟體定義儲存、SDN 軟體定義網路、Container 容器技術……等。同時,為了因應雲端快速變化的趨勢,過往推出大版本的更新方式已經逐漸過時,所以從 Windows 10 及 Windows Server 2016 版本開始採用定期更新的方式,為使用者、開發人員、IT 管理人員帶來新的操作體驗。

目前,開發代號 RS(RedStone)在日前 2017 年 7 月 15 日已經發佈最新更新 RS3 版本,那麼我們來快速預覽 Windows Server Insider Preview Build 16237(RS3)版本中,分別針對使用者、開發人員、IT 管理人員提供哪些新增特色功能:

  • 最佳化 Nano Server 容器映像檔: .Net 團隊提供 .Net Core 2.0 及 Nano Server 最佳化容器映像檔,除了可以在 Windows Insider Docker Hub Repo 中下載取得之外,整體容器映像檔佔用的儲存空間也縮小超過 20 %。同時,支援最新 PowerShell 6.0 指令碼環境、掛載 SMB 磁碟區、名稱管道對應、運作效能增強……等。此外,在網路功能方面也與 K8S(Kubernetes)協同運作。
  • 預設停用 SMB v1: 2017 年 5 月爆發的 WannaCry 勒索軟體事件,利用 NSA 所發展的攻擊工具 EternalBlus,打造專門攻擊 Windows SMB 服務漏洞的勒索軟體,並且迅速擴散全球上百多個國家遍及 80 多萬台主機。雖然,微軟在 3 月份便已經修補此漏洞,但許多個人和企業及組織並未及時更新才傳出重大災情,因此在新版 RS3 當中預設將直接停用 SMB v1 系統功能及相關服務。
  • ReFS 支援重複資料刪除: 在目前的 Windows Server 2016 作業系統版本中,倘若 IT 管理人員需要使用重複資料刪除功能時,僅能針對「NTFS」檔案系統的磁碟區啟用此功能。現在,新版 RS3 當中讓「ReFS」檔案系統的磁碟區也能支援重複資料刪除技術。
  • 支援新式 SCM 儲存裝置: 目前企業及組織的主流應用中,倘若需要超大儲存空間便採用傳統 HDD 機械式硬碟,但缺點就是 IOPS 儲存效能表現太差,倘若需要快速及高 IOPS 儲存效能時則採用 NVMe 快閃儲存或 SSD 固態硬碟,但缺點為價格太昂貴且有使用壽命的問題。現在,新一代的 SCM(Storage Class Memory)儲存裝置能夠提供相同的高 IOPS 儲存效能,同時耐用度與目前主流的 MLC NAND 快閃儲存相較下提升 10 倍。在新版 RS3 當中已經支援此新式儲存裝置,並可以整合至 S2D 軟體定義儲存技術中。
  • 傳遞主機電力狀態: 在 PowerShell 中新增 Set-VM 指令參數 -BatteryPassthroughEnabled,可以讓 Hyper-V 虛擬化平台中的 VM 虛擬主機,感知到 Hyper-V 主機的電力狀態。值得注意的是,必須採用 8.2 版本的 VM 虛擬主機才支援此新增特色功能。
  • 運作 VM 於 NVDIMM 中: 當 IT 管理人員希望 VM 虛擬主機,能夠獲得最低延遲時間最高運算效能時,只要在 Hyper-V 虛擬化平台中採用支援的 NVDIMM,那麼 IT 管理人員便可以啟用 vPMEM(Virtualized Persistent Memory)機制,為 VM 虛擬主機新增 vPMEM Controller 之後,即可為 VM 虛擬主機建立 .vhdpmem 虛擬磁碟並運作在高速的 NVDIMM 當中。

圖 1、半導體儲存階層示意圖





容錯移轉叢集新功能

雖然,新版 Windows Server 2016 RS3 帶來許多新增特色功能,然而對於追求穩定營運的企業及組織來說,或許可以先應用到測試/研發環境當中為企業及組織的技術藍圖鋪路,但在營運環境中則需要持續穩定且高可用性的特色功能,例如,Windows Server 容錯移轉叢集。

那麼,我們來看看 Windows Server 2016 容錯移轉叢集中,新增哪些特色功能可以有效幫助 IT 管理人員管理企業及組織的資料中心:



滾動式升級(Rolling Upgrade)

在企業及組織的資料中心內,主流的 Windows Server 作業系統版本相信是 Windows Server 2012 / 2012 R2,並且也已經在容錯移轉叢集中建立許多高可用性角色及服務。那麼,是否有方式可以在沒有任何停機事件發生的情況下,將容錯移轉叢集及叢集節點主機升級至新一代的 Windows Server 2016? 此時,便可以透過「容錯移轉叢集滾動式升級」(Cluster OS Rolling Upgrade)機制達成。

簡單來說,不同層級的容錯移轉叢集具備不同的特色功能,在 Windows Server 2012 R2 環境所建構的容錯移轉叢集,其容錯移轉叢集功能等級為「8」,而新一代 Windows Server 2016 容錯移轉叢集功能等級為「9」

因此,當容錯移轉叢集中叢集節點為 Windows Server 2012 R2,以及 Windows Server 2016 混合並存的環境時,請先不要急著升級容錯移轉叢集功能等級,必須等到容錯移轉叢集中「所有」叢集節點主機,都採用 Windows Server 2016 版本時才進行升級容錯移轉叢集功能等級的動作。

圖 2、容錯移轉叢集滾動式升級流程示意圖



雲端見證(Cloud Witness)

在過去 Windows Server 容錯移轉叢集運作架構中,仲裁機制僅支援「磁碟」(Disk)「檔案共享」(File Share)這 2 種方式。

雖然,從 Windows Server 2012 作業系統版本開始,容錯移轉叢集運作架構中新增「動態仲裁」(Dynamic Quorum)投票機制特色功能,它可以避免因為叢集節點主機離線導致叢集發生癱瘓的問題,動態仲裁具備下列功能特色:

  • 當叢集節點主機離線時,叢集中的仲裁票數將會動態進行改變。
  • 允許叢集中超過 50 % 的叢集節點主機離線,也不會導致容錯移轉叢集發生癱瘓的情況。


在 Windows Server 2012 R2 作業系統版本中,更將本來動態仲裁的功能增強後更名為「動態見證」(Dynamic Witness),避免叢集節點主機離線、見證資源離線或失敗……等叢集資源故障損壞,而導致容錯移轉叢集發生癱瘓的問題,動態見證具備下列功能特色:

  • 動態見證的叢集節點投票數,將會自動化進行動態調整以便簡化整體配置。
  • 在以往的容錯移轉叢集當中,當叢集節點為「偶數」時必須要建置「仲裁(Quorum)或稱見證(Witness)」,而叢集節點為「奇數」時則無須建置。現在,不管叢集節點數量為何都「應該」要建置見證,當叢集節點為「偶數」時見證會得到 1 票,當叢集節點為「奇數」時見證則沒有投票權(也就是 0 票)。同時,管理人員可以隨時使用 PowerShell 指令【(Get-Cluster).WitnessDynamicWeight】 指令,查看見證的投票數情況(0 沒有票、1 有票)
  • 當見證資源發生「離線」(Offline)或「失敗」(Failed)的故障情況時,將會喪失投票權(也就是 0 票)。此運作機制設計的原因在於,降低以往容錯移轉叢集對於見證資源的過度依賴,避免因為見證資源發生失敗進而影響到容錯移轉叢集的穩定性。
  • 改善以往容錯移轉叢集環境中,主要及備用站台發生重大災難事件時,雖然其中一邊的站台可能擁有 50% 的票數,但卻導致容錯移轉叢集環境發生「腦裂」(Split-Brain)情況的困擾。

有關叢集節點主機離線導致叢集發生癱瘓的詳細資訊,請參考 Windows Server 2012 R2 Evaluation GuideWindows Server 2012 R2 Technical Overview 文件。
圖 3、動態仲裁運作架構示意圖

因此,考量系統高可用性及穩定性建議 IT 管理人員仍須組態配置見證機制,以便建構出來的容錯移轉叢集運作環境能夠因應更大的災難故障事件。

此外,從 Windows Server 2016 作業系統版本開始,建構的容錯移轉叢集運作環境支援第 3 種仲裁機制儲存資源。現在,IT 管理人員可以將由 Windows Server 2016 所建構的容錯移轉叢集運作環境,將仲裁(Quorum)或稱見證(Witness)儲存資源,指向至 Microsoft Azure 儲存體當中。

圖 4、容錯移轉叢集雲端見證運作架構示意圖



健康服務(Health Service)

透過 Windows Server 2016 容錯移轉叢集中的健康服務特色功能,可以幫助 IT 管理人員輕鬆監控 S2D 軟體定義儲存運作環境的健康狀態,包括,運作資訊,包括,儲存效能 IOPS、Storage Pool 儲存空間、CPU 處理器使用率、記憶體使用率……等硬體資源使用情況。

只要在 PowerShell 指令視窗中,執行【Get-StorageSubSystem Cluster* | Get-StorageHealthReport】指令,IT 管理人員便可以立即看到 S2D 叢集的健康情況及運作資訊。

圖 5、輕鬆監控 S2D 軟體定義儲存運作環境的健康狀態



容錯網域感知(Fault Domain Awareness)

在過去 Windows Server 容錯移轉叢集運作架構中,一律以所有叢集節點主機的可用性來確保營運服務的高可用性。現在,透過 Windows Server 2016 當中的容錯網域感知功能,可以在容錯移轉叢集中定義更細緻的硬體元件項目,包括,站台(Site)、機櫃(Rack)、機箱(Chassis)、叢集節點主機(Node)等 4 個項目。

圖 6、容錯網域感知運作架構示意圖



VM 虛擬主機負載平衡(VM Load Balancing)

在過去 Windows Server 2012 R2 容錯移轉叢集環境中,必須搭配 SCVMM(System Center Virtual Machine Manager)當中的「Dynamic Optimization」特色功能,才能夠達成在容錯移轉叢集中運作的 VM 虛擬主機工作,自動化負載平衡的運作機制。現在,新版 Windows Server 2016 容錯移轉叢集環境中,便原生內建自動化「VM 虛擬主機負載平衡」(VM Load Balancing)運作機制。

圖 7、VM 虛擬主機負載平衡機制運作示意圖





實戰 – 雲端見證

當容錯移轉叢集中所有的叢集節點主機都能夠存取網際網路時,IT 管理人員可以考慮採用「雲端見證」(Cloud Witness)機制。當然,倘若運作環境中叢集節點主機「無法」存取網際網路時,請採用剛才磁碟或檔案共用見證機制即可。下列為 IT 管理人員在規劃雲端見證時的注意事項:

  • 容錯移轉叢集並不會儲存產生的存取金鑰,而是產生安全的 SAS(Shared Access Security)權杖。
  • 雲端見證採用 HTTPs REST 方式,在叢集節點主機及 Microsoft Azure 儲存體帳戶之間進行溝通。因此,請確保叢集節點主機防火牆規則允許 HTTPs(Port 443)網路流量能夠通過,企業及組織的硬體防火牆或 Proxy 代理伺服器也必須確保 HTTPs(Port 443)網路流量能夠通過。


在開始使用 Microsoft Azure 公有雲資源之前,可以透過 Microsoft Azure Speed Test 網站,確認企業及組織內叢集節點主機存取網際網路的連線頻寬,與 Microsoft Azure 全球資料中心之間哪個區域的資料中心距離最近,以便屆時能夠獲得最低的網路延遲時間。舉例來說,目前資料中心內的叢集節點主機與 Microsoft Azure 全球資料中心「東亞」(East Asia)距離最近,平均的網路延遲時間只有 52 ms

圖 8、確認叢集節點主機與哪個 Microsoft Azure 資料中心距離最近

建立雲端見證機制必須要先建立「Microsoft Azure 儲存體帳戶」,請登入 Microsoft AzurePortal 後,依序點選「新增> Storage > Storageaccount」項目,在建立儲存體帳戶視窗中依序填入或選擇相關項目:

  • 名稱: wsfcwitness
  • 部署模型: Resourcemanager
  • 帳戶種類: 一般用途
  • 效能: 標準
  • 複寫: 本地備援儲存體(LRS)
  • 資源群組: Asia-East-RG
  • 位置: 東亞

請注意,在帳戶種類下拉式選單中請選擇「一般用途」項目,因為「Blob 儲存體」項目並不支援 Cloud Witness 功能。在效能的部分請採「標準」項目,因為選擇「進階」將會採用 Azure Premium Storage,但尚未支援 Cloud Witness 功能。最後,在複寫的部分因為雲端見證的仲裁機制,在讀取資料時必須要確保資料的一致性,所以必須選擇「本地備援儲存體(LRS)」項目。
圖 9、建立雲端見證用途的 Microsoft Azure 儲存體帳戶

順利建立 Microsoft Azure 儲存體帳戶之後,系統便會自動產生 2 把金鑰分別是「主要及次要」(Key1、Key2)存取金鑰。因為我們是首次設定雲端見證,所以稍後在設定雲端見證時將會採用「主要存取金鑰」(Primary Access Key)。請按下 Key1 存取金鑰的複製鈕以便複製內容,稍後建立雲端見證時將會使用到。

圖 10、複製 Key1 存取金鑰內容

接著,切換至容錯移轉叢集環境中開啟容錯移轉叢集管理員,依序點選「wsfc.weithenn.org > 其他動作 > 設定叢集仲裁設定 > 選取仲裁見證 > 設定雲端見證」,在設定雲端見證視窗中,請填入 Microsoft Azure 儲存體帳戶名稱此實作環境為「wsfcwitness」,然後填入 Azure 儲存體帳戶的主要存取金鑰(Key1)內容,而 Azure 服務端點則採用預設的 core.windows.net 即可。

圖 11、填入 Microsoft Azure 儲存體帳戶名稱及存取金鑰資訊

成功建立雲端見證機制後可以按下「檢視報告」鈕,再次確認組態設定雲端見證的動作是否順利完成。確認雲端見證順利建立後,按下完成鈕結束雲端見證組態設定作業。

圖 12、確認組態設定雲端見證的動作是否順利完成

完成雲端見證組態設定的動作後,可以看到在容錯移轉叢集管理員視窗中叢集摘要中的見證欄位,將從先前的「無」變更為「雲端見證」,並且在叢集核心資源中也多出「雲端見證」項目。

圖 13、雲端見證組態設定完成

現在,切換到「節點」項目可以看到原先叢集移轉叢集透過動態仲裁運作機制,會有 1 台叢集節點主機的票數為「0」。現在,雲端見證機制建立完成後所有的叢集節點主機票數皆為「1」。此外,當雲端見證機制建立完成後,在 Microsoft Azure 儲存體帳戶中將會產生名稱為「msft-cloud-witness」的容器,並且在該容器內會產生「1 筆」唯一識別碼 ID 記錄同時可以看到該筆記錄的 Blob 檔案大小。
倘若,在同一個 Microsoft Azure 儲存體帳戶為多個容錯移轉叢集建立雲端見證時,便會在 msft-cloud-witness 容器中看到「多筆」唯一識別碼 ID 記錄。
圖 14、雲端見證機制建立後,自動產生 msft-cloud-witness 容器及 Blob 檔案





實戰 – VM 虛擬主機負載平衡

現在,新版 Windows Server 2016 容錯移轉叢集環境中,已經原生內建自動化「VM 虛擬主機負載平衡」(VM Load Balancing)運作機制,並且具備下列特色功能:

  • 零停機解決方案: 透過 Hyper-V 內建的 Live Migration 機制,針對 VM 虛擬主機進行線上不中斷的即時遷移作業。
  • 無縫與容錯移轉叢集進階功能整合: 能夠與容錯移轉叢集中其它進階功能,例如,Anti-Affinity、Fault Domains……等機制無縫整合並協同運作。
  • 公平自動化負載平衡觸發機制: 針對容錯移轉叢集中,所有叢集節點主機的「CPU」及「記憶體」運算資源使用率,當成是自動化負載平衡機制的觸發標的門檻值。
  • 彈性觸發機制: 可以採用多種方式及門檻值決定哪時觸發自動化負載平衡機制。


簡單來說,倘若容錯移轉叢集運作環境中有整合 SCVMM 管理平台的話,那麼仍直接使用 Dynamic Optimization 負載平衡機制即可。倘若,運作環境中沒有 SCVMM 管理平台的話則使用 VM 虛擬主機負載平衡運作機制。那麼,當 2 種機制發生衝突時叢集會採用哪種負載平衡機制? 預設情況下,一旦叢集啟用 Dynamic Optimization 機制之後,便會自動「停用」VM 虛擬主機負載平衡運作機制。



負載平衡模式 – 新叢集節點加入

當容錯移轉叢集加入新的叢集節點主機時,VM 虛擬主機負載平衡運作機制將會依照下列順序,自動將現有叢集節點主機的工作負載移轉至新加入的叢集節點主機:

  • 評估容錯移轉叢集中所有叢集節點主機的工作負載。
  • 辨別哪些叢集節點主機的工作負載超過門檻值。
  • 辨別所有叢集節點主機工作負載的沈重程度,以便稍後優先把工作負載移轉至新加入的叢集節點主機中。
  • 透過 Hyper-V Live Migration 機制,將線上運作中的 VM 虛擬主機即時遷移至新加入的叢集節點主機中。

圖 15、新叢集節點主機加入負載平衡模式運作示意圖



負載平衡模式 – 自動負載平衡

在目前的容錯移轉叢集中,週期性的評估叢集節點主機的工作負載後,針對「CPU」「記憶體」等運算資源使用率進行工作負載自動化平衡的動作。
預設情況下,每隔「30 分鐘」便會進行叢集節點主機的工作負載平衡作業。

VM 虛擬主機負載平衡運作機制,將會依照下列順序進行評估叢集節點主機工作負載的動作:
評估容錯移轉叢集中所有叢集節點主機的工作負載。

  • 辨別哪些叢集節點主機的工作負載超過門檻值,哪些叢集節點主機的工作負載在門檻值以下。
  • 辨別所有叢集節點主機工作負載的沈重程度,以便稍後優先把工作負載沈重的叢集節點主機,其上運作的 VM 虛擬主機移轉至工作負載輕微的叢集節點主機中。
  • 透過 Hyper-V Live Migration 機制,將工作負載沈重叢集節點主機上的 VM 虛擬主機,即時遷移至工作負載輕微的叢集節點主機中。

圖 16、現有叢集節點主機自動化負載平衡模式運作示意圖

請在容錯移轉叢集環境中開啟容錯移轉叢集管理員,依序點選「wsfc.weithenn.org > 內容 > 平衡器」後,可以看到有「模式」「加強」2 個組態設定區塊,下列便是每個選項的功能說明:

模式

  • 在節點加入時使用該節點進行負載平衡: 只有當容錯移轉叢集中新加入叢集節點主機時,才進行負載平衡作業。
  • 一律進行負載平衡: 當容錯移轉叢集中新加入叢集節點主機時,以及預設每隔 30 分鐘評估叢集節點主機工作負載後,進行負載平衡作業。

加強

  • 高: 每隔 30 分鐘評估叢集節點主機工作負載後,當 CPU 或記憶體等運算資源使用率超過「60 %」時,便執行負載平衡作業。
  • 中: 每隔 30 分鐘評估叢集節點主機工作負載後,當 CPU 或記憶體等運算資源使用率超過「70 %」時,便執行負載平衡作業。
  • 低: 每隔 30 分鐘評估叢集節點主機工作負載後,當 CPU 或記憶體等運算資源使用率超過「80 %」時,便執行負載平衡作業。

圖 17、組態設定 VM 虛擬主機負載平衡運作機制設定值





結語

透過本文的說明及實作演練,相信讀者已經完全了解雲端見證及 VM 虛擬主機負載平衡這 2 項機制,確實可以幫助企業及組織降低維運成本,同時也能降低 IT 管理人員的維運負擔。

前言

在第 6 代 vSAN 版本當中,關於「可用性」(Availability)的部分共新增 3 項特色功能(如下所示)。雖然,從第 2 代 vSAN 版本開始,vSAN 叢集便已經能夠建立「延伸叢集」(Stretched Cluster)的運作架構,然而新版 vSAN 6.6 叢集環境能夠結合本地端故障保護機制,讓 vSAN 叢集站台之間的容錯機制更具彈性,甚至能夠結合親和性規則讓儲存原則的管理更具備靈活性。





Availability 新增特色功能

Stretched Cluster Local Failure Protection

vSAN 6.0 版本開始便支援 vSAN Stretched Cluster 機制,隨著最新版本 vSAN 6.6 發佈更加入本地故障保護 (Local Failure Protection) 機制,如此一來可以在每個站台當中提供儲存容錯機制,並且支援 RAID-1 / RAID-5 / RAID-6 等資料容錯保護機制。

圖、vSAN Stretched Cluster 架構支援本地故障保護機制

舉例來說,管理人員可以透過 vSphere Web Client 管理介面,管理及組態設定整個 vSAN Cluster 的資料容錯保護層級,在下列的組態設定畫面中 FTT=1 表示,在 vSAN Stretched Cluster 運作架構中 2 個站台會啟用 Mirror 資料容錯保護機制。同時,在啟用 RAID-5 Erasure Coding 機制確保 vSAN Node 故障損壞時,vSAN Cluster 仍然能夠正常運作。

圖、vSAN Stretched Cluster 架構下組態設定本地故障保護機制



Stretched Cluster Site Affinity

在最新版本的 vSAN 6.6 運作環境中開始加入親和性 (Affinity) 機制,以便提升 vSAN Stretched Cluster 運作架構的儲存原則靈活性,舉例來說當 VM 虛擬主機已經具備容錯機制時,例如,Microsoft Active DirectoryOracle RAC (Real Application Clusters),便可以透過親和性規則套用至這種類型的 VM 虛擬主機,讓 VM 虛擬主機無須建立跨站台容錯機制,以便最小化工作負載及儲存和網路資源。

圖、組態設定 vSAN Stretched Cluster 親和性儲存原則



Degraded Device Handling

簡單來說,VMware 持續改進 vSAN Cluster 處理硬體問題的各項機制,例如,預告即將發生故障損壞的儲存設備……等。當相關硬體設備出現故障損壞事件時,那麼 vSAN Cluster 會把該設備標記為 Absent,但是並不會立即執行 Rebuild 的動作,主要原因是這種狀況可能是臨時性的 (例如,vSAN Node 重新啟動),所以預設情況下 vSAN Cluster 會等待 60 分鐘後才會判定會真正故障,然而在這個期間 VM 虛擬主機仍然會正常運作 (因為其它 vSAN Node 還有可用的資料副本)。


前言

在第 6 代 vSAN 版本當中,關於「部署」(Deployment)的部分共新增 3 項特色功能(如下所示)。過去,在建構舊版 vSAN 軟體定義儲存運作環境時,最令 IT 管理人員感到困擾的便是建構的 vSAN 叢集中,所有 vSAN 叢集節點主機之間必須透過多點傳送(Multicast)進行溝通,並未支援企業及組織內部常用的單點傳送(Unicast)網路環境。





Deployment 新增特色功能

Easy Install

在過去倘若採用 vCSA (vCenter Server Appliance) 佈署 vSAN Cluster 時,必須要先在獨立的 ESXi 主機將 vCSA 佈署完成後,才能夠執行建構 vSAN Cluster 的安裝及組態設定作業。

現在,只要加入 vSAN Node 即可完成啟用 vSAN Cluster 動作,所以無須再啟用 vSAN 之前為 vCSA 配置額外的磁碟,所以有效簡化整體的佈署流程。如下圖所示,為佈署 vCSA 時選擇 vSAN Datastore 及 Datacenter 和 Cluster 名稱,所以管理人員只要點選幾下便可以完成 vCSA 佈署作業。

圖、選擇 vCSA 佈署所要使用的 vSAN Datastore、Datacenter、Cluster

如下圖所示,則是 vSAN Node 中具備 1 個快取裝置及 2 個儲存裝置,準備進行硬碟的宣告作業。

圖、vSAN Node 宣告硬碟



Multicast Dependency Removed

過去,在建構舊版 vSAN 軟體定義儲存運作環境時,最令 IT 管理人員感到困擾的便是建構的 vSAN Cluster 時,所有 vSAN Node 之間必須透過多點傳送(Multicast)進行溝通,並未支援企業及組織內部常用的單點傳送(Unicast)網路環境。

現在,最新版本的 vSAN 6.6 運作環境中,vSAN Cluster 內的 vSAN Node 直接採用「單點傳送」進行溝通作業。此外,舊版的 vSAN 運作環境,只要升級至最新版本的 vSAN 6.6 也將會自動改為採用「單點傳送」進行溝通作業。

圖、vSAN 6.6 當中 vSAN Node 採用單點傳送溝通



Extensibility

管理人員只要採用通過 VMware Ready for vSAN 驗證程序的伺服器擔任 vSAN Node,便可以輕鬆且快速的完成 vSAN Cluster 的佈署作業。

圖、VMware Ready for vSAN

前言

Red Hat Enterprise LinuxRed Hat 公司推薦使用於企業伺服器網路服務上的 Linux 發行版本,通常大多數的人會將此 Linux 發行版本簡稱為 RHEL(雖然 Red Hat 公司官方並不建議這樣簡稱)。在正常的情況下 RHEL 大約以每 18 ~ 24 個月的頻率,發佈下一版的作業系統。但是實際運作上 RHEL 作業系統版本的發行頻率,取決於 Fedora Linux 的更新。Fedora Linux 為 Red Hat 公司贊助的知名開放原始碼計畫,Red Hat 公司會將許多新技術先行導入至 Fedora Linux 發行版本中,待經過一段時間測試至穩定階段而且符合企業需求後,便會將該技術加入至下一個發行的 RHEL 版本中。每當 Fedora Linux 發行 3 個版本後大約就會發佈 1 個 RHEL 新版本

而本文所要介紹的 CentOS (Community ENTerprise Operating System) 為眾多 Linux 發行版本之一。CentOS 其源碼來自 RHEL 作業系統的開放原始碼,將其源碼重新編譯而成的,移除了無法自由使用的商標及 Red Hat 所擁有的封閉原始碼軟體。由於 CentOS Linux 與 Red Hat Enterprise Linux 具有大量相同的原始碼內容,因此也適合在需要高度穩定性的企業營運環境。

目前有些中小企業的 IT 人員為了建置預算上面的考量使用 CentOS Linux 發行版本來替代 RedHat Linux 企業版本。但是相對來說使用 CentOS Linux 發行版本除了得不到商業支援以外,當然也不包含 Red Hat 公司所擁有的封閉原始碼軟體。因此建議 IT 人員在使用 CentOS Linux 發行版本來建置企業網路服務以前,除了要先了解所使用的硬體伺服器是否支援 CentOS Linux 之外,更要了解所架設的商業服務是否會使用到 Red Hat 公司封閉原始碼軟體。

CentOS Linux 作業系統版本命名規則分為二個部份,分別是主要版本及次要版本來進行版本表示。其中主要及次要版本號碼,則是相對應於紅帽公司所發行的 RHEL 作業系統主要版本與更新版本號碼,例如,CentOS 7.4 版本便是相對應於 RHEL 7 update 4 版




實作環境





基礎設定

目前,最新版本為 CentOS 7.4 (1708),並且與舊版 CentOS 6.x 有很大的不同,例如,新版 CentOS 7 預設檔案系統為 xfs 而非 ext4、預設防火牆為 firewalld 而非 IPTables……等。同時,虛擬化平台將採用最新的 Windows Server 2016 中的 Hyper-V 為基礎運作環境。💪



下列便是 CentOS 7.4 的基礎設定系列文章:

前言

最近工作關係開始玩 CentOS 了,本次實作環境中採用的是 CentOS 7.4 (1709) Kernel 3.10.0-693.el7.x86_64) 映像檔,也就是新版 CentOS 7.4 最小化安裝版本 (Minimal Install),那麼開始來玩玩吧。💪



實作環境




匯出 CentOS 範本虛擬主機

完成 CentOS 範本虛擬主機的基礎設定後,便可以執行關機後「匯出」(Export)的動作 (事實上,VM 虛擬主機在開機中也能直接匯出)。在 Windows Server 2016 Hyper-V 虛擬化平台中,執行 VM 虛擬主機的匯出動作非常簡單,只要點選 VM 虛擬主機後按下滑鼠右鍵,在右鍵選單中選擇「匯出」即可。

圖、準備匯出 VM 虛擬主機

接著,系統會彈出匯出虛擬機器視窗,請選擇要將匯出的 VM 虛擬主機存放於何處。本文實作環境存放於「C:\VMs_Export」(稍後,將會建立以 VM 虛擬主機名稱的資料夾 CentOS74)。


圖、指定匯出路徑

指定好匯出路徑後,按下匯出鍵便會立即執行匯出的動作,可以在 Hyper-V 管理員視窗中該台 VM 虛擬主機的「工作狀態」欄位,看到匯出 VM 虛擬主機的工作進度。

圖、匯出 VM 虛擬主機的工作進度

匯出作業完成後,可以看到在「C:\VMs_Export」資料夾中建立相關子目錄:
  • V:\Export\CentOS74: 以該台 VM 虛擬主機名稱命名的子目錄。
  • V:\Export\CentOS74\Virtual Hard Disks: 存放該台 VM 虛擬主機的 .vhdx 虛擬磁碟。
  • V:\Export\CentOS74\Virtual Machines: 存放該台 VM 虛擬主機的 .vmcx / .vmrs 組態設定檔。

圖、VM 虛擬主機匯出完成



CentOS 7.4 基礎設定系列文章: