︿
Top


網管人雜誌

本文刊載於 網管人雜誌第 231 期 - 2025 年 4 月 1 日出刊,NetAdmin 網管人雜誌 為一本介紹 Trend Learning 趨勢觀念、Solution Learning 解決方案、Technology Learning 技術應用的雜誌,下列筆記為本站投稿網管人雜誌獲得刊登的文章,網管人雜誌於每月份 1 日出刊您可於各大書店中看到它,或透過城邦出版人讀者服務網進行訂閱。





本文目錄






前言

最新發佈的 vSAN 8.0 Update 3,雖然看似小版本的更新,事實上不僅增強許多原有功能,甚至推出許多亮眼新功能,舉例來說,在 VMware Cloud Foundation(VCF)5.2 版本中,正式支援 vSAN Express Storage Architecture(ESA),部署及建構「延伸叢集」(Stretched Cluster)運作架構,除了幫助企業和組織容錯等級提升至 Site Level 之外,同時消耗更少的 vSAN 儲存資源,並且在站台與站台之間 Inter-Site Link(ISL)傳送的資料也大量減少(如圖 1 所示)。

圖 1、最新 VCF 5.2 版本,支援 vSAN ESA 建構 Stretched Cluster 運作架構示意圖





vSAN 8 Update3 亮眼新功能

VCF 5.2 正式支援 vSAN Max

在過去的 VCF 版本中,針對 vSAN 超融合叢集類型,僅支援混合儲存及運算的 vSAN HCI 類型,以及僅運算類型的 vSAN Compute Cluster。現在,最新發佈的 VCF 5.2 版本中,已經正式支援專注於儲存類型的「Disaggregated Storage」也就是 vSAN Max(如圖 2 所示)。

圖 2、VCF 5.2 正式支援儲存資源為主的 vSAN Max



vSAN ESA 擴充檔案服務支援數量

在舊版本的 vSAN ESA 運作環境中,啟用 vSAN 檔案服務時,無論是用於 Windows 用戶端分享的 SMB 通訊協定,或是用於 Linux 用戶端及容器的 NFS 通訊協定,每個 vSAN 叢集最大分享總數量為「100」個。

現在,最新的 vSAN 8 U3 版本中,一次將 vSAN 檔案服務的最大分享數量提升為「250」個(如圖 3 所示),讓每個 vSAN 叢集能夠承載更多的 SMB/NFS 分享,以便因應企業和組織日漸增加的 Kubernetes 叢集管理需求。

圖 3、最新 vSAN 8 U3 版本每個叢集支援最多 250 個 SMB/NFS 分享



vSAN DP 資料保護機制

在最新的 vSAN 8 U3 版本中,新增 vSAN Data Protection(DP)資料保護功能,它能夠在 vSAN ESA 叢集中,透過新式的 B-Tree 快照架構,並以「中繼資料」(Metadata)層級的方式進行快照,所以對於 vSAN ESA 叢集來說,建立這個原生快照不需要重新產生新的物件及檔案,簡單來說不會影響 vSAN ESA 叢集效能。

同時,vSAN DP 資料保護技術,整合原有 Policy-Based 建立的「保護群組」(Protection Groups),來管理受保護的 VM 虛擬主機,有效避免管理人員的錯誤操作導致的 VM 虛擬主機受損,遭遇勒索病攻擊時能夠快速還原,在啟用「不可變動模式」(Immutable Mode)後,甚至被惡意人士取得 vCenter 管理權限時,也能有效阻擋重要的保護群組無法被刪除的情況。

此外,在雲端環境的 vSAN 運作環境中,vSAN DP 資料保護技術,也已經整合 VMware Live Cyber Recovery(VLCR),有效保護 vSAN 雲端環境的運作安全(如圖 4 所示)。

圖 4、vSAN DP 資料保護機制運作架構示意圖

在 vSAN DP 資料保護運作架構中,支援為每台 VM 虛擬主機建立最多「200」份快照,並且每台 VM 虛擬主機,最多可以加入「3 個」不同的 Protection Groups 當中,以便增加組態設定的彈性。此外,在自動化排程方面也非常靈活,每個 Protection Groups 最多支援「10」個排程,每個排程都包含定期快照時間和保留期間(如圖 5 所示)。

圖 5、支援靈活應用的 Protection Groups 組態設定示意圖



主動偵測儲存裝置健康狀態

在 vSAN 超融合叢集中,儲存裝置的健康與否,不僅影響儲存效能的整體表現,倘若損壞更可能影響到 VM 虛擬主機資料的完整性。因此,在最新 vSAN 8 U3 版本中,整合 vSphere Lifecycle Management(vLCM)機制,允許硬體伺服器供應商,能夠調整及支援 Hardware Support Manager(HSM)運作元件,以便分析獲得儲存裝置的遙測資料後,透過 API 傳送至 vSAN Health 服務,以便系統能夠針對儲存裝置的健康情況進行分析作業,預先偵測儲存裝置可能發生的各項健康問題,並將這些分析結果以健康分數進行呈現,方便管理人員協同判斷(如圖 6 所示)。

圖 6、整和 vLCM 機制和 HSM 元件,預先偵測儲存裝置可能發生的各項健康問題

除了主動偵測之外,現在也支援管理人員能夠自訂儲存裝置的耐用度門檻值。事實上,在 vSAN 超融合叢集中,儲存裝置有可能不同時期不同類型,甚至是不同品牌的製造商所生產。

舉例來說,在建置初期採用「混合用途」(Mixed-Use)儲存裝置部署 vSAN ESA 叢集,隨著時間和專案的推進,又新增另一個採用「讀取密集型」(Read-Intensive)部署 vSAN ESA 叢集。此時,便可以在自訂耐用度門檻值中新增參數,允許在同一個資料中心內不同的 vSAN ESA 叢集中,同時監控較高及較低耐久性的儲存裝置,並在觸發耐久性門檻值時產生警報(如圖 7 所示)。

圖 7、針對不同的叢集和不同儲存裝置類型自訂告警門檻值



快速找出儲存效能瓶頸

無論是預先偵測或主動告警,都能夠幫助管理人員,更好的維持 vSAN 超融合叢集的健康狀態。然而,有時會發生儲存裝置並未故障損壞,並且健康情況也良好尚未到達耐久度門檻,但 VM 虛擬主機效能表現就是不好。

在最新 vSAN 8 U3 版本中,已經將 vSAN I/O Trip Analyzer 整合,幫助管理人員快速診斷出效能瓶頸的問題發生在哪裡,並且支援最多同時針對「8 台」VM 虛擬主機進行診斷作業(如圖 8 所示)。

圖 8、整合 vSAN I/O Trip Analyzer 快速診斷 VM 虛擬主機效能瓶頸



RDMA 故障排除再進化

相較於傳統的 TCP/IP 傳輸,在 vSAN 超融合叢集中,更建議採用更高效能低延遲的 RDMA 進行儲存傳輸作業,然而在過去的版本中,必須管理人員檢查並確保運作環境,才能確保 RDMA 正確的運作。

現在,最新 vSAN 8 U3 版本中,將會針對 RDMA 進行多項健康檢查,包含 RDMA 網卡是否通過驗證程序,採用的驅動程式和韌體版本是否通過驗證,以確保獲得啟用 RDMA 的最佳效能(如圖 9 所示)。

圖 9、系統針對 RDMA 進行多項健康檢查確保獲得最佳效能





實戰 – vSAN DP 資料保護機制

vSAN Data Protection(DP)資料保護機制(如圖 10 所示),為最新 vSAN 8.0 Update3 版本中導入的新功能,能夠幫忙企業和組織,在地端資料中心內的 vSAN 叢集中,為 vSAN 儲存資源建立「原生快照」(Native Snapshots),以便完整擷取 VM 虛擬主機運作狀態,一旦 VM 虛擬主機發生故障或遭遇勒索軟體攻擊時,便能透過 vSAN DP 資料保護機制,快速還原受影響的 VM 虛擬主機,回到先前良好的運作狀態。

圖 10、vSAN ESA Snapshots 運作架構示意圖



部署 vSAN SnapService Appliance

在實作 vSAN DP 資料保護機制之前,管理人員必須先在官方網站中「vSAN > Drivers and Tools」項目內,下載 vSAN SnapService Appliance 的 OVA 部署檔案,舉例來說,本文實作下載的部署檔案為「snapservice_appliance-8.0.3.0-24057802_OVF10.ova」。

值得的是,部署 vSAN SnapService Appliance 過程中,系統需要匯入 vCenter Server Certificate,所以管理人員必須預先下載好 vCenter Server Certificate,倘若管理人員不知道如何下載 vCenter Server Certificate 的話,相關詳細資訊請參考 VMware KB-330833 知識庫文章

一旦管理人員將 vSAN SnapService Appliance 部署完成後,在 vCenter 管理介面中的「Configure > vSAN」項目內,系統便會自動出現「Data Protection」項目,以便進行後續組態設定 vSAN DP 資料保護機制。



建立 Protection Groups

在 vSAN DP 運作架構中,透過「Protection Groups」機制,可以將一台或多台 VM 虛擬主機,加入至同一個 Protection Groups 內,便可以針對這些 VM 虛擬主機排程和管理快照。

請在 vCenter 管理介面中,依序點選「Cluster > Configure > vSAN > Data Protection」項目,在預設的 Summary 頁面中,可以看到 vSAN DP 和快照使用空間的概要資訊,目前,尚未建立任何 Protection Groups,所以也沒有任何被保護的 VM 虛擬主機及快照。

值得注意的是,系統提醒資訊中,說明當 vSAN Datastore 儲存資源使用量超過 70% 時,系統將會停止執行 vSAN DP 快照的自動化排程作業,以避免 vSAN DP 快照影響 vSAN 儲存資源的正常運作(如圖 11 所示)。

圖 11、查看 vSAN Data Protection 概要資訊頁面

請依序點選「Protection Groups > Create Protection Group」項目,系統將彈出建立 Protection Group 對話視窗,在 1. General 步驟中,首先於 Protection group name 欄位,鍵入 Protection Group 名稱,本文實作為「Customer Service App」,在下方 Membership 選項中,選擇適合運作環境的選項,本文實作選擇採用「Dynamic VM name patterns」(如圖 12 所示),以便稍後加入 VM 虛擬主機名稱時,可以使用「*」萬用字元。

圖 12、鍵入 Protection Group 名稱並選擇加入 VM 虛擬主機選項

在 2. Add VM name patterns 步驟中,請於 VM name pattern 欄位中,鍵入欲加入此 Protection Group 的 VM 虛擬主機名稱「CS*」後,按下 Add 鈕,系統將會匹配 VM 虛擬主機中,名稱開頭為「CS」並符合規則的零個或多個任意字元的 VM 虛擬主機,系統找到二個符合的 VM 虛擬主機並顯示在下方,除了「*」萬用字元之外,也支援使用「?」字元以匹配一個符合的任意字元(如圖 13 所示)。

圖 13、透過萬用字元一次加入多台 VM 虛擬主機

在 3. Add snapshot schedules 步驟中,系統預設採用每天自動建立快照並保留一週,管理人員可以依照需求,自行調整快照排程,舉例來說,本文實作調整為「每 8 小時」建立一份快照,並且保留最近「2 個月」的快照檔案(如圖 14 所示)。倘若,管理人員需要多個快照排程時,只要點選下方「Add Schedule」,即可新增另一個快照排程時間。

圖 14、組態設定 vSAN DP 快照的排程時間和保留期間

在 4. Review 步驟中,再次檢視 Protection Group 組態設定內容無誤後,即可按下 Create 鈕。值得注意的是,建立 Protection Group 後系統並不會立即建立一份快照,而是依據剛才組態設定的排程時間才會進行快照,倘若管理人員希望立即保護相關的 VM 虛擬主機,可以執行稍後提到的手動快照。

建立完成後,在 Protection Group 頁面中,即可看到剛才建立的 Protection Group 資訊,下列為每個欄位的概要說明(如圖 15 所示):
  • Protection group: 顯示目前系統中已經建立的 Protection Group,點選名稱後即可查看詳細資訊。
  • Immutability mode: 顯示不可變模式狀態,目前為 Disabled 的停用狀態。稍後實作中,也將建立啟用不可變模式的 Protection Group,管理人員便能理解啟用和停用這兩者的不同之處。
  • Status: 顯示此 Protection Group 的活動狀態,目前為 Active 的活動狀態,表示系統將會依據組態設定的排程時間,自動化執行建立 vSAN DP 快照作業。
  • Snapshots: 顯示快照份數,目前為 0 份,必須等到排程時間後系統自動建立,或管理人員手動建立快照。
  • Latest snapshot: 顯示最新建立快照的時間點。
  • Oldest snapshot: 顯示最一開始建立快照的時間點。
  • VMs: 顯示目前受到 Protection Group 照快保護的 VM 虛擬主機數量。
圖 15、查看建立的 Protection Group 概要資訊



手動建立 vSAN ESA Snapshot

事實上,當 Protection Group 建立完成後,系統將會根據排程時間自動建立快照,倘若管理人員希望立即保護相關 VM 虛擬主機時,可以手動執行建立 vSAN ESA 快照的動作。

請在 Protection Groups 頁面中,點選希望建立 vSAN ESA 快照的 Protection Group,點選三個點圖示,在顯示視窗中選擇「Take snapshot」項目,系統將會彈出快照作業視窗,在 Take snapshot 視窗中,系統會自動產生快照名稱,當然管理人員可以在 Snapshot name 欄位,變更成自訂的快照名稱,在 Retention 選項部份,依據運作環境需求選擇適合的選項立即進行快照作業,確認後按下 Take Snapshot 鈕即可(如圖 16 所示)。

圖 16、手動建立 vSAN DP 快照

順利建立 vSAN DP 快照後,回到 Protection Groups 頁面,可以看到 Snapshots 欄位,從剛才的「0 份」和警告圖示,轉變為「1 份」快照,並且由於是第一份快照,所以最新和最舊快照時間點是一致的(如圖 17 所示)。

圖 17、手動建立 vSAN DP 快照後,查看 Protection Groups 概要資訊



驗證 VM Name Patterns 機制

由於,在建立 Protection Groups 時,採用動態 VM 虛擬主機名稱搭配萬用字元的加入方式。因此,後續管理人員只要新增的 VM 虛擬主機開頭名稱為「CS」時,系統便會自動將其加入 Protection Groups 中進行保護。

請在 vCenter 管理介面中,依序點選「Cluster > Actions > New Virtual Machine」項目,並根據系統需求及作業環境考量後,建立一台新的 VM 虛擬主機,本文實作這台 VM 虛擬主機名稱為「CS-App-03」(如圖 18 所示)。

圖 18、建立一台名稱為 CS-App-03 的 VM 虛擬主機

請切換回 Protection Groups 頁面,然後再次手動執行建立 vSAN DP 快照的動作,完成後可以看到,快照份數的 Snapshots 欄位,從數值「1」轉變為「2」,並且受保護的 VMs 欄位,也從原本的「2」轉變為「3」,表示剛才新增名稱為 CS-App-03 的 VM 虛擬主機,已經自動加入 Protection Groups 並受到 vSAN DP 的快照保護(如圖 19 所示)。

圖 19、新增的 CS-App-03 虛擬主機,自動加入 Protection Groups 並受到快照保護

此外,管理人員可以點選「VMs > Existing VMs」項目,即可以查看現有 VM 虛擬主機中,哪些是被 Protection Groups 保護的,哪些則未被保護,並且每個欄位都可以使用過濾排序功能,方便管理人員檢索及查詢,可以看到 CS-App-03 虛擬主機,已經被系統自動加入至 Customer Service App 的 Protection Groups 中,並且狀態為 Protected 的受保護狀態(如圖 20 所示)。

圖 20、檢索及查詢現有 VM 虛擬主機受 vSAN DP 快照保護的狀態



還原 VM 虛擬主機

一旦 VM 虛擬主機受到 vSAN DP 快照保護後,即便 VM 虛擬主機故障損壞甚至被刪除,都可以透過先前建立的 vSAN DP 快照進行快速還原。

舉例來說,先手動將剛才建立的 CS-App-03 虛擬主機,關機後直接刪除,並且在剛才的「VMs > Existing VMs」項目中,已經沒有看到 CS-App-03 虛擬主機。

此時,請點選「VMs > Removed VMs」項目,即可看到剛才為 CS-App-03 虛擬主機建立的快照,請點選「Restore VM」項目(如圖 21 所示),系統將會彈出精靈對話視窗進行還原作業。

圖 21、準備還原已經被刪除的 CS-App-03 虛擬主機

在 Restore VM 視窗中,1. Select a snapshot 步驟中,管理人員可以選擇該台 VM 虛擬主機的快照還原點,由於本文實作中的 CS-App-03 虛擬主機只有一份快照,所以無法選擇其它快照還原點(如圖 22 所示)。

圖 22、選擇 VM 虛擬主機的快照還原點

在 2. Select name and folder 步驟中,選擇 VM 虛擬主機還原後,所要存放的資料中心以及資料夾,在 3. Select compute resource 步驟中,選擇 VM 虛擬主機放置的叢集和 vSAN 節點主機,在 4. Review 步驟中,再次檢視還原組態設定內容無誤後,點選 Restore 鈕即可立即執行還原作業。



快速複製 VM 虛擬主機

在 vSAN DP 資料保護架構中,除了將快照用於保護和還原 VM 虛擬主機之外,還有另一個用途也非常方便,便是整合 ESA Linked-Clone 技術的快速複製機制,舉例來說,當管理人員需要對營運服務 VM 虛擬主機,進行相關的測試或研究動作時,為了避免影響到線上服務,同時達成測試或研究的目的時,便可以使用快速複製機制達成。

值得注意的是,vSAN DP Clone VM 功能,和原有 vCenter 操作介面中,傳統的 Cloning VM 動作不同,並且透過 vSAN DP Clone VM 快速複製產生的 VM 虛擬主機,並不會受到 vSAN DP 快照的保護。

在本文實作環境中,選擇使用 CS-App-02 虛擬主機後,點選「Clone VM」項目,在彈出的 Clone VM 視窗中,1. Select a snapshot 步驟,選擇該台 VM 虛擬主機的快速複製時間點,在 2. Select name and folder 步驟中,選擇 VM 虛擬主機複製後存放的資料中心及資料夾,以及 VM 虛擬主機名稱,本文實作名稱為「CS-App-02-Clone」,在 3. Select compute resource 步驟中,選擇 VM 虛擬主機放置的叢集和 vSAN 節點主機,在 4. Review 步驟中,再次檢視快速複製組態設定內容無誤後,點選 Clone 鈕即可立即執行快速複製作業(如圖 23 所示)。

圖 23、透過 vSAN DP 資料保護機制快速複製 CS-App-02 虛擬主機

如同剛才所述,透過 vSAN DP 快速複製後的 VM 虛擬主機,並不會被 vSAN DP 快照機制所保護,即便管理人員修改 Protection Group 內容,調整加入 VM 虛擬主機的規則,從「Dynamic VM name patterns」改為「Individual VM selection」,在指定選擇 VM 虛擬主機頁面中,除了無法找到快速複製的 CS-App-02-Clone 虛擬主機之外,也可以看到系統提醒不支援 Linked-clone VMs 的說明(如圖 24 所示)。

圖 24、vSAN DP 快照機制不保護快速複製後的 CS-App-02-Clone 虛擬主機



不可變動的 Protection Groups

在 vSAN DP 資料保護機制中,支援另一種特殊的「不可變動模式」(Immutable Mode)。簡單來說,一旦 Protection Groups 啟用不可變動模式功能後,無論是 VM 虛擬主機名稱規則,或是快照排程及保留期間的組態設定都無法再變更,甚至連 Protection Groups 也無法被刪除,即便具備 vCenter 最大管理者權限也無法刪除,這個防護機制的主要目的,是防止惡意攻擊者即便取得系統最大權限,也無法刪除被不可變動模式保護的重要營運服務。

管理人員在建立 Protection Groups 時,本文實作名稱為「IT Services」,只要勾選「Immutability mode」選項,屆時這個 Protection Groups 便會自動啟用不可變動模式,並且在勾選時,系統也提醒管理人員,一旦啟用後將無法變更及修改 Protection Groups 組態設定內容(如圖 25 所示)。

圖 25、建立 Protection Groups 並啟用不可變動模式

建立完成後,在 Immutability mode 欄位,可以看到狀態顯示為「Enabled」(如圖 26 所示),表示這個 Protection Groups 已經正式啟用不可變動模式。

圖 26、查看 Protection Groups 是否啟用不可變動模式

現在,這個 Protection Groups,只能手動執行 vSAN DP 快照作業,以及系統自動排程執行的快照作業,管理人員無法調整和編輯 Protection Groups 組態設定,甚至也無法刪除這個已經建立的 Protection Groups(如圖 27 所示),因此即便惡意人士取得 vCenter 管理權限,仍然無法刪除這個被 vSAN DP 快照保護的 Protection Groups 及相關快照和 VM 虛擬主機。

圖 27、即便擁有 vCenter 最大管理權限,也無法變更和刪除啟用不可變動模式的 Protection Groups





結語

透過本文的深入剖析和實戰演練後,管理人員除了理解最新發佈 vSAN 8.0 Update 3 版本中,亮眼的特色功能之外,透過實戰演練小節,實作 vSAN DP 資料保護機制,幫助企業和組織保護重要的 VM 虛擬主機和營運服務。