vSphere・vSAN 7.0 u2 機能強化・アップデート情報

半年前に vSphere・vSAN 7.0 u1 の機能強化・アップデート情報をまとめたばかりですが、3/9 に 7.0 u2 がリリースされました。
※ vSphere・vSAN 7.0 u1 機能強化・アップデート情報 はこちら

公式ドキュメントとしてのリリースノートは以下

• VMware vCenter Server 7.0 Update 2 リリース ノート
  https://docs.vmware.com/jp/VMware-vSphere/7.0/rn/vsphere-vcenter-server-702-release-notes.html
• VMware ESXi 7.0 Update 2 リリース ノート
  https://docs.vmware.com/jp/VMware-vSphere/7.0/rn/vsphere-esxi-702-release-notes.html
• VMware vSAN 7.0 Update 2 リリース ノート
  https://docs.vmware.com/jp/VMware-vSphere/7.0/rn/vmware-vsan-702-release-notes.html

公式ブログでの What's New は以下

• Announcing: vSphere 7 Update 2 Release
  https://blogs.vmware.com/vsphere/2021/03/announcing-vsphere-7-update-2-release.html
• What’s New with vSAN 7 Update 2
  https://blogs.vmware.com/virtualblocks/2021/03/09/vsan-7-update-2/
• What’s New in vSphere 7 Update 2 Core Storage
  https://blogs.vmware.com/virtualblocks/2021/03/09/vsphere-7-u2-core-storage/

今回も vSphere と vSAN の強化機能についてまとめますが、
vSphere・vSAN 7.0 u2 機能強化のうち個人的に特に以下 5 つが嬉しいポイントかなと感じています。

• データセキュリティの強化
  vSphere Native Key Provider と ESXi Key Persistence を利用した外部 KMS 無しの vSAN 暗号化が可能に
• HCI Mesh が Phase 2 に進化
   "非 vSAN クラスタ"　からも外部の vSAN データストアをマウント可能に (クライアント側に vSAN の追加ライセンス不要)
• vSAN File Services の強化
  Stretched Cluster や 2Node Cluster のサポート、API を介した Snapshot や Unmap の機能が追加
• vSphere Lifecycle Manager (vLCM)  の強化
  NSX-T のサポートと Tanzu のサポート、クラスタクイックスタートの強化
• パフォーマンスの強化
  AMD EPYC シリーズへの最適化や広帯域ネットワーク環境での vMotion 並列度の自動調整、vSAN over RDMA (RoCE V2) の対応、vSAＮ ネットワークモニタリング項目の詳細化・閾値アラームの追加など

その他にも、vSAN Health (vSAN Skyline) の強化で過去の健全性履歴が閲覧可能になったり、Tanzu / Kubernetes 関連の強化や GPU 関連の強化、その他沢山ありますが捌ききれないので公式 Blog を後半でご紹介します。

vCenter vSphere Client の見た目が変わった

機能とは関係ありませんが、Clarity Icon で全体的にアイコンがすっきりものに変わり見た目が変わりました。

所々に不思議なロボットや人の絵が入っている様です。

※ どうでもよい事ですが、7.0u2 で加わったこれらロボット君の画像、vCSA にログインして *.svg ファイルを探すと出てきますが、上記の vSAN 関連のロボット君は war ファイルに圧縮されているので欲しい人は "h5-vsan-ui.war" を探して解凍してください。

データセキュリティの強化

従来の VM 暗号化や vSAN 暗号化には互換認証のある外部 KMS が必要でしたが、vSphere 7.0u2 からは vCenter 7.0u2 に実装された vSphere Native Key Provider の機能や、ESXi ホストに搭載されたハードウェア TPM 2.0 (Trusted Platform Module) に格納された暗号化キーを用いて各種セキュリティを強化する機能 (キー永続性 : ESXi Key Persistence ) が実装されました。

これらセキュリティの強化により、vSphere 7.0u2 以降ではハードウェア TPM 2.0 を搭載している環境であれば、ESXi 構成情報の暗号化 (ESXi Configuration Encryption) が自動的に有効になりブートボリュームにある暗号化キー、パスワード、証明書などが保護され、
VM 暗号化・vSAN 暗号化・vTPM も vSphere Native Key Provider を利用して構成できる事となります。

※ vSphere Native Key Provider や VM 暗号化の利用には vSphere Enterprise Plus Edition、vSAN 暗号化の利用には vSAN Enterprise Edition のライセンスが必要となります。

TPM は定価 2,000 ~ 3,000 円の追加コストでサーバーのセキュリティを高める事が出来るツールなので今後サーバー機器の更新がある場合はぜひ付けて頂きたいコンポーネントです。
※ 一般的には TPM は後付けが出来ないのでサーバー購入時にオプションから選択する必要があります。

vSphere Native Key Provider の機能はあくまでも vCenter 管理下のコンポーネントに対した利用できる Key Provider の機能であり、3rd Party のストレージやファイルサーバの暗号化のためには従来通り外部 KMS を利用する必要があります。

当然、クラスタを構成する物理ハードウェアが丸ごと盗難にあってしまうような場合は完全な保護が難しいので、そういう前提がある場合は 3rd Party の外部 KMS を安全な場所に動作させて従来通りの暗号化ソリューションを利用するべきです。

vSphere Native Key Provider の有効化方法

vSphere Client で vCenter の階層を選択、"設定" > "セキュリティ" > "キープロバイダ" とたどり、キープロバイダの追加画面でネイティブキープロバイダが選べる様になっています。

ここでは試しに "NKP" と名前を付けます。

キープロバイダをアクティブにするためにバックアップを行います。

これでネイティブキープロバイダの有効化は完了です。非常に簡単。

ネイティブキープロバイダを利用した vSAN 暗号化の有効化

vSAN 暗号化は初期セットアップのタイミングの他、既に VM が動作している vSAN データストアでも有効化する事が可能です。

先ほど作成した vSphere Native Key Provider  "NKP" をキープロバイダとして選択する事が可能です。

既存で VM が稼働中の vSAN データストアを暗号化する場合には、ディスクグループ毎に再構成 (VM データを退避して、暗号化後にデータを戻す作業) がバックグラウンドで発生するため、長時間必要となるので負荷の少ない時間帯での暗号化をお勧めします。

HCI Mesh Phase 2

vSAN 7.0 u1 から機能実装された HCI Mesh は Phase 1 として "vSAN クラスタ間で vSAN データストアをリモートマウントする" という形で機能提供されました。

今回の Phase 2 では "非 vSAN クラスタ (コンピュートクラスタ・クライアントクラスタ)" から "外部の vSAN データストア" をマウントする事がサポートされました。

これにより、今まで以上に柔軟に vSAN データストアの容量を活用する事が可能になりました。しかも、コンピュートクラスタ側には vSAN ライセンスは不要です。

※ vSAN Mesh でデータストアを提供する側のクラスタには vSAN Enterprise が必要です。

また、外部の vSAN データストアに向けたストレージポリシーの制御も対応し、
重複排除・圧縮の有無、暗号化の有無、AF/HY vSAN の指定など、vSAN データストアの構成に合わせたポリシーを作成しておき使い分ける事も可能になりました。

HCI Mesh は vSAN クラスタから最大 5 つのコンピュートクラスタにローカルの vSAN データストアを提供可能です。また、コンピュートクラスタ側からは最大 5 つのリモート vSAN データストアをマウントする事が出来ます。

現時点の HCI Mesh の制限として "同一 vCenter 配下のクラスタ間での vSAN データストア共有機能" である事にご注意下さい。

その他、Mesh の構成上の注意などは公式ドキュメントを参照ください。

• HCI メッシュとのリモート データストアの共有
  https://docs.vmware.com/jp/VMware-vSphere/7.0/com.vmware.vsphere.vsan.doc/GUID-9113BBD6-5428-4287-9F61-C8C3EE51E07E.html

vSAN File Services の強化

vSAN 7.0u2 からは vSAN Stretched Cluster や 2Node vSAN Cluster 環境でも File Services が有効化可能になりました。

また、API 連携しがスナップショットの取得 (バックアップソフトウェア連携など)、未使用領域の UNMAP 機能のサポート、転送データの暗号化の実装の他、外部にエクスポートするファイル共有の数も従来の 32 から 100 へ大幅に強化されました。

vSphere Lifecycle Manager (vLCM)  の強化

vSphere 7.0 で実装された vLCM の着実に進化していて、7.0u2 では Vendor Plugin に Hitachi UCP ReadyNode models が加わり、
さらに vSphere with Tanzu 環境や NSX-T 環境での vLCM の利用もサポートに加わり、より大規模向けに vLCM でイメージ管理できるホスト台数が 280 台 から 400 台に強化されました。

また、vSAN クラスタでは実施できませんが、3Tier 構成のクラスタではメンテナンス時間を短縮するために ESXi ホストの並列更新処理がサポートされます。

※ 詳細はリリースノート、公式ドキュメントをご確認ください。

• VMware vCenter Server 7.0 Update 2 リリース ノート
  https://docs.vmware.com/jp/VMware-vSphere/7.0/rn/vsphere-vcenter-server-702-release-notes.html

パフォーマンスの強化

今回のアップデートでも vSphere、vSAN の両面で大幅に性能を向上させる改善、最適化が入りました。

AMD EPYC Rome CPU 以降への最適化

EPYC がリリースされてから Xeon から EPYC に切り替える事例が多く見られますが、今回のアップデートでは AMD 向け NUMA awareness な CPU スケジューラの強化や、キャッシュローカリティに対応した強化など幾つかの最適化が公式に明記されています。

特に vSAN 環境では EPYC の NUMA ドメインのアーキテクチャに合わせた改善が入り、Xeon シリーズと同様に最適化された CPU の処理が行われます。

vSAN IO パフォーマンスの強化

AMD EPYC への最適化以外にも、RAID 5/6 のイレージャーコーディング時のパリティ計算の最適化を含む内部のアルゴリズムの改善により、CPU 利用率の削減と IO レスポンスが向上しました。

また、vSAN においては高品質・低遅延のネットワークが重要な要素となりますが、ネットワークのパフォーマンスモニタにおける物理 NIC、TCP/IP レイヤにおける閾値モニタリングが多数追加されました。

vSAN 6.7u3 以降、クラスタや ESXi ホストの vSAN パフォーマンス情報はかなり細かくチェックできるようになりましたが、vSAN 7.0u2 では CRC エラーやフロー制御、送受信の細かいエラーチェックが GUI で可能になりました。

vSAN ネットワーク分析の詳細については以下の記事も併せて参照ください。

• Troubleshooting vSAN Performance : Step #4:  Performance Metrics – Insight
  https://core.vmware.com/resource/troubleshooting-vsan-performance#_Toc536646868
• vSAN ネットワークのトラブルシューティング
  https://docs.vmware.com/jp/VMware-vSphere/7.0/vsan-network-design-guide/GUID-59ECCB82-F44C-45C8-8259-35066A6A4F6D.html

vSAN over RDMA (RoCE V2) の対応

ついに vSAN ネットワークも RoCE (RDMA over Converged Ethernet) v2 をサポートして、より高速・低遅延が求められるデータ IO を低い CPU 負荷で処理する事が可能になります。

RDMA 対応で面白いと感じたのは、RDMA で全ノードが通信できる場合は RDMA、そうでない場合は TCP/IP にフォールバックする仕組みを備えており、
移行時の切り替え、トラブル時の IO 継続性などがかなり考慮されている様です。

今後、All NVMe、特に 3D XPoint NVMe SSD などで構成される超高性能 vSAN 環境で、より低遅延、低 CPU 負荷で実装する際には必須になるアーキテクチャだと思います。

現時点のバージョンでは RoCE v2 のみをサポートし、iWARP や IB はサポートされない点、RDMA で組むクラスタは L2 で接続され、最大 32 ノードとなっているので、今後さらに改良・拡張が加えられそうです。

vMotion 並列度の自動調整

vMotion ネットワークが有効になっている物理 NIC の速度を検知して、自動で vMotion の並列度を調整する機能が実装されました。
※ ベースラインは 10GbE で 1ストリーム、追加 15 GbE 辺り +1 ストリームで計算されるようです。

• 25 GbE = 2 vMotion ストリーム
• 40 GbE = 3 vMotion ストリーム
• 100 GbE = 7 vMotion ストリーム

vSphere 7.0 / 7.0u1 で実装された vMotion や DRS の最適化・強化と合わせて、普及した高速ネットワークに合わせた自動処理により、今まで以上にバランスされたクラスタ運用が可能になりそうです。

• Faster vMotion Makes Balancing Workloads Invisible
  https://core.vmware.com/blog/faster-vmotion-makes-balancing-workloads-invisible

その他のアップデート

その他、リリースノートを見ていくとキリがないくらいに様々な強化・改善が入っています。

• vSAN Health (vSAN Skyline) 健全性履歴ビューの追加
  バージョンアップしたばかりなので以下のキャプチャは直近の変更分のみが記録として表示されていますが、過去の健全性の推移 (いつアラームが上がり、いつ改善されたか、など）がチャートで確認できる様になり、トラブルシューティングの手助けになる強力なツールとなりました。
  ※ 以下のキャプチャはディスクバランスが閾値より上回っていたので自動リバランスを有効にし、健全な状態に戻った履歴を示しています。

• vSphere with Tanzu の機能強化
• vSphere with Tanzu に組み込まれた NSX Advanced Load Balancer
  Essentialsk8s 用に NSX-T の Advanced LB が統合、利用可能になるとの事
• TKG Clusters と Supervisor Cluster での k8s 1.19 のサポート
• Private Registry のサポート
• AI/ML に関連した GPU 連携機能の強化
• vSAN の Proactive HA のサポート
• vSAN ノードのメンテナンス時に書き込み差分データを異なるノードに保存し、計画外イベント時のデータ耐久性の向上
• PMEM (Permanent Memory) VM の vSphere HA サポート
• REST API Modernization
• etc...

沢山ありすぎて Tanzu 関連はまとめきれないので今回はこの辺りまで...