半年前に vSphere・vSAN 7.0 u1 の機能強化・アップデート情報をまとめたばかりですが、3/9 に 7.0 u2 がリリースされました。
※ vSphere・vSAN 7.0 u1 機能強化・アップデート情報 はこちら
公式ドキュメントとしてのリリースノートは以下
- VMware vCenter Server 7.0 Update 2 リリース
ノート
https://docs.vmware.com/jp/VMware-vSphere/7.0/rn/vsphere-vcenter-server-702-release-notes.html - VMware ESXi 7.0 Update 2 リリース
ノート
https://docs.vmware.com/jp/VMware-vSphere/7.0/rn/vsphere-esxi-702-release-notes.html - VMware vSAN 7.0 Update 2 リリース
ノート
https://docs.vmware.com/jp/VMware-vSphere/7.0/rn/vmware-vsan-702-release-notes.html
- Announcing: vSphere 7 Update 2
Release
https://blogs.vmware.com/vsphere/2021/03/announcing-vsphere-7-update-2-release.html - What’s New with
vSAN 7 Update 2
https://blogs.vmware.com/virtualblocks/2021/03/09/vsan-7-update-2/ - What’s
New in vSphere 7 Update 2 Core
Storage
https://blogs.vmware.com/virtualblocks/2021/03/09/vsphere-7-u2-core-storage/
今回も vSphere と vSAN の強化機能についてまとめますが、
vSphere・vSAN 7.0 u2 機能強化のうち個人的に特に以下 5 つが嬉しいポイントかなと感じています。
- データセキュリティの強化
vSphere Native Key Provider と ESXi Key Persistence を利用した外部 KMS 無しの vSAN 暗号化が可能に - HCI Mesh が Phase 2 に進化
"非 vSAN クラスタ" からも外部の vSAN データストアをマウント可能に (クライアント側に vSAN の追加ライセンス不要) - vSAN File Services の強化
Stretched Cluster や 2Node Cluster のサポート、API を介した Snapshot や Unmap の機能が追加 - vSphere Lifecycle Manager (vLCM) の強化
NSX-T のサポートと Tanzu のサポート、クラスタクイックスタートの強化 - パフォーマンスの強化
AMD EPYC シリーズへの最適化や広帯域ネットワーク環境での vMotion 並列度の自動調整、vSAN over RDMA (RoCE V2) の対応、vSAN ネットワークモニタリング項目の詳細化・閾値アラームの追加など
その他にも、vSAN Health (vSAN Skyline) の強化で過去の健全性履歴が閲覧可能になったり、Tanzu / Kubernetes 関連の強化や GPU 関連の強化、その他沢山ありますが捌ききれないので公式 Blog を後半でご紹介します。
vCenter vSphere Client の見た目が変わった
データセキュリティの強化
従来の VM 暗号化や vSAN 暗号化には互換認証のある外部 KMS が必要でしたが、vSphere 7.0u2 からは vCenter 7.0u2 に実装された vSphere Native Key Provider の機能や、ESXi ホストに搭載されたハードウェア TPM 2.0 (Trusted Platform Module) に格納された暗号化キーを用いて各種セキュリティを強化する機能 (キー永続性 : ESXi Key Persistence ) が実装されました。
これらセキュリティの強化により、vSphere 7.0u2 以降ではハードウェア TPM 2.0 を搭載している環境であれば、ESXi 構成情報の暗号化 (ESXi Configuration
Encryption) が自動的に有効になりブートボリュームにある暗号化キー、パスワード、証明書などが保護され、
VM 暗号化・vSAN 暗号化・vTPM も vSphere Native Key Provider を利用して構成できる事となります。
※ vSphere Native Key Provider や VM 暗号化の利用には vSphere Enterprise Plus Edition、vSAN 暗号化の利用には vSAN Enterprise Edition のライセンスが必要となります。
TPM は定価 2,000 ~ 3,000 円の追加コストでサーバーのセキュリティを高める事が出来るツールなので今後サーバー機器の更新がある場合はぜひ付けて頂きたいコンポーネントです。
※ 一般的には TPM
は後付けが出来ないのでサーバー購入時にオプションから選択する必要があります。
vSphere Native Key Provider の機能はあくまでも vCenter 管理下のコンポーネントに対した利用できる Key Provider の機能であり、3rd Party のストレージやファイルサーバの暗号化のためには従来通り外部 KMS を利用する必要があります。
当然、クラスタを構成する物理ハードウェアが丸ごと盗難にあってしまうような場合は完全な保護が難しいので、そういう前提がある場合は 3rd Party の外部 KMS を安全な場所に動作させて従来通りの暗号化ソリューションを利用するべきです。
vSphere Native Key Provider の有効化方法
vSphere Client で vCenter の階層を選択、"設定" > "セキュリティ" > "キープロバイダ" とたどり、キープロバイダの追加画面でネイティブキープロバイダが選べる様になっています。
ネイティブキープロバイダを利用した vSAN 暗号化の有効化
HCI Mesh Phase 2
vSAN 7.0 u1 から機能実装された HCI Mesh は Phase 1 として "vSAN クラスタ間で vSAN データストアをリモートマウントする" という形で機能提供されました。
今回の Phase 2 では "非 vSAN クラスタ (コンピュートクラスタ・クライアントクラスタ)" から "外部の vSAN データストア" をマウントする事がサポートされました。
これにより、今まで以上に柔軟に vSAN データストアの容量を活用する事が可能になりました。しかも、コンピュートクラスタ側には vSAN ライセンスは不要です。重複排除・圧縮の有無、暗号化の有無、AF/HY vSAN の指定など、vSAN データストアの構成に合わせたポリシーを作成しておき使い分ける事も可能になりました。
vSAN File Services の強化
vSAN 7.0u2 からは vSAN Stretched Cluster や 2Node vSAN Cluster 環境でも File Services が有効化可能になりました。
また、API 連携しがスナップショットの取得 (バックアップソフトウェア連携など)、未使用領域の UNMAP 機能のサポート、転送データの暗号化の実装の他、外部にエクスポートするファイル共有の数も従来の 32 から 100 へ大幅に強化されました。
vSphere Lifecycle Manager (vLCM) の強化
さらに vSphere with Tanzu 環境や NSX-T 環境での vLCM の利用もサポートに加わり、より大規模向けに vLCM でイメージ管理できるホスト台数が 280 台 から 400 台に強化されました。
パフォーマンスの強化
今回のアップデートでも vSphere、vSAN の両面で大幅に性能を向上させる改善、最適化が入りました。
AMD EPYC Rome CPU 以降への最適化
EPYC がリリースされてから Xeon から EPYC に切り替える事例が多く見られますが、今回のアップデートでは AMD 向け NUMA awareness な CPU スケジューラの強化や、キャッシュローカリティに対応した強化など幾つかの最適化が公式に明記されています。
特に vSAN 環境では EPYC の NUMA ドメインのアーキテクチャに合わせた改善が入り、Xeon シリーズと同様に最適化された CPU の処理が行われます。
vSAN IO パフォーマンスの強化
AMD EPYC への最適化以外にも、RAID 5/6 のイレージャーコーディング時のパリティ計算の最適化を含む内部のアルゴリズムの改善により、CPU 利用率の削減と IO レスポンスが向上しました。
また、vSAN においては高品質・低遅延のネットワークが重要な要素となりますが、ネットワークのパフォーマンスモニタにおける物理 NIC、TCP/IP レイヤにおける閾値モニタリングが多数追加されました。
vSAN 6.7u3 以降、クラスタや ESXi ホストの vSAN パフォーマンス情報はかなり細かくチェックできるようになりましたが、vSAN 7.0u2 では CRC エラーやフロー制御、送受信の細かいエラーチェックが GUI で可能になりました。
vSAN ネットワーク分析の詳細については以下の記事も併せて参照ください。
- Troubleshooting vSAN Performance : Step #4: Performance Metrics –
Insight
https://core.vmware.com/resource/troubleshooting-vsan-performance#_Toc536646868 - vSAN
ネットワークのトラブルシューティング
https://docs.vmware.com/jp/VMware-vSphere/7.0/vsan-network-design-guide/GUID-59ECCB82-F44C-45C8-8259-35066A6A4F6D.html
vSAN over RDMA (RoCE V2) の対応
移行時の切り替え、トラブル時の IO 継続性などがかなり考慮されている様です。
vMotion 並列度の自動調整
※ ベースラインは 10GbE で 1ストリーム、追加 15 GbE 辺り +1 ストリームで計算されるようです。
- 25 GbE = 2 vMotion ストリーム
- 40 GbE = 3 vMotion ストリーム
- 100 GbE = 7 vMotion ストリーム
その他のアップデート
- vSAN Health (vSAN Skyline) 健全性履歴ビューの追加
バージョンアップしたばかりなので以下のキャプチャは直近の変更分のみが記録として表示されていますが、過去の健全性の推移 (いつアラームが上がり、いつ改善されたか、など)がチャートで確認できる様になり、トラブルシューティングの手助けになる強力なツールとなりました。
※ 以下のキャプチャはディスクバランスが閾値より上回っていたので自動リバランスを有効にし、健全な状態に戻った履歴を示しています。
- vSphere with Tanzu の機能強化
- vSphere with Tanzu に組み込まれた NSX Advanced Load Balancer
Essentialsk8s 用に NSX-T の Advanced LB が統合、利用可能になるとの事 - TKG Clusters と Supervisor Cluster での k8s 1.19 のサポート
- Private Registry のサポート
- AI/ML に関連した GPU 連携機能の強化
- vSAN の Proactive HA のサポート
- vSAN ノードのメンテナンス時に書き込み差分データを異なるノードに保存し、計画外イベント時のデータ耐久性の向上
- PMEM (Permanent Memory) VM の vSphere HA サポート
- REST API Modernization
- etc...
0 件のコメント:
コメントを投稿