vSphere・vSAN 7.0 u1 機能強化・アップデート情報

vSphere を扱っている多くの方は「メジャーバージョンの GA 版はパスして Update1 で」という考えを持っている傾向が強いなと勝手に感じていますが、

2020年3月11日に発表、4月2日に GA された vSphere・vSAN 7.0 から半年経過し 2020年9月15日に 7.0 Update 1 (以下 7.0u1) が発表されました。

7.0 GA 時にはvSAN に関しては  File Service など新機能以外にあまりアップデートがありませんでしたが、今回の 7.0u1 では vSphere・vSAN 共に大きな機能強化が発表されました。

本投稿ではそれぞれのアップデートの中で個人的に注目している機能強化をご紹介します。

※ 個人的に気になる機能のみをピックアップしているので各プロダクトの詳細情報は公式ブログも参照願います。

• What’s New in vSAN 7 Update 1
• Announcing vSAN Data Persistence Platform
• What’s New with VMware vSphere 7 Update 1
• Announcing VMware vSphere with Tanzu: The Fastest Way to Get Started with Kubernetes
• yellow-bricks : What’s new for vSAN 7.0 U1!?

今回の内容です

• vSphere 7.0 Update 1 の機能強化
• Tanzu Basic の実装
• vSphere Clustering Services (vCLS)
• vSphere Life Cycle Manager の強化
• vSphere スケーラビリティ
• vSphere Ideas 連携
• その他の vSphere 7.0 u1 のアップデート
• vSAN 7.0 Update 1 の機能強化
• Cloud Native / Container 向け機能強化
• vSAN Data Persistence platform (DPp) と vSAN Direct Configuration
• HCI Mesh (vSAN クラスタ間のデータストア共有)
• Compression-Only 圧縮のみの容量削減モード
• Shared Witness Appliance
• 余剰領域の削減 (Slack Space 必要量の削減)
• 容量管理の簡素化
• 継続的な性能改善(vSAN 6.7u3 比で 30% 向上)
• メンテナンスモード中の耐久性の強化
• ホスト再起動時の高速化
• vSAN File Service SMB の実装
• その他の vSAN 7.0 u1 のアップデート

※ 今回書いていない機能も多数ありますので公式情報をぜひご覧ください。

vCenter6.5のrootアカウントパスワードの失効とvCenter Server Applianceのアップグレード失敗

ここ数年のvCenter Server Appliance(vCSA) 5.5 や 6.0をデプロイすると、初期状態ではrootアカウントのパスワード期限が90日に設定されていました。
90日間越えてしまうとrootアカウントがロックされてしまいVAMI UIやSSHでのログインが不可となります。

この際は以下KBを参照し、LinuxOS側にシングルモードでコンソールログインしてrootアカウントのパスワードを初期化する必要がありました。
vCenter Server Appliance の root アカウントにログインできない (2069041)

vCSA 6.5からは初期状態のrootアカウントのパスワード期限が365日に延長されました。
私も油断していたのですが、検証環境のvCSA6.5が初期状態のままで365日経過してしまいましたが、その時に気づいた今までとの違いをご紹介します。
vCenter 6.5 root ユーザーのパスワードおよびパスワード有効期限の設定の変更

まず、vCSA 6.5の場合、パスワードの期限が切れてもアカウントロックされる事はなく、VAMI UI(https://<vCSA_IP-FQDN>:5480/)や、SSHでのrootログインが可能でした。
この辺りは以前のバージョンに比べるとだいぶ緩くなっています。

ただ、ログイン可能なのですが、VAMIのアカウント管理画面では以下のように、パスワードが過去の時間に切れたことが表示されます。

そして、パスワードの期限が切れている場合はVAMIでのパスワード再設定や、有効期限の無効化の設定は弾かれてしまいます。

先日はこの画面を確認せず、rootアカウントのパスワードが有効なものと思いこんで、vCenterのバージョンアップを実行したところ、以下のようなエラーで失敗しました。

最初はDB容量や空き容量のひっ迫などを疑ったのですが、色々調査するとrootアカウントがおかしいのでは？となり、確認したら有効期限が切れていました。
SSHにもVAMIにもrootでログインできたので気付くのに遅れてしまいました。

vCSA 6.5で有効期限の切れた状態のrootアカウントのパスワード変更は、VAMI UIからは実行できず、SSHかローカルコンソールでvCSAのLinux側にログインしてCLIで passwd
コマンドを投入して再設定します。

再設定後は問題なくvCSAのバージョンアップも成功し、VAMI UIでパスワードの再設定、有効期限の設定変更も可能になりました。

vCSAのバージョンアップ前にはrootアカウントの有効性を確認する事をお勧めします。

vSANクラスタへのESXi パッチ適用の注意点

vSANクラスタを運用している際に、定期的にリリースされるバグフィックス、セキュリティフィックスのvSphere ESXiのパッチを適用することが多々あります。

vSAN 6.6.1からはvCenter Update Manager が vSAN HCL DBの情報をもとに適切なベースラインを作成し、アップデートを安全に適用してくれるようになりましたが、

慣れている人の場合は esxcli コマンドを利用して適用する事があるかもしれません。

My VMwareなどからダウンロードしたパッチを適用する際、本来のProfile Update ではなく、個別のVIBをインストール、アップデートする以下のコマンド(vib update/vib install)で実行してしまった場合、Vmwre標準パッケージのドライバなどに置き換わってしまったり削除されることがあります。

esxcli software vib update -d <パッチファイル>.zip

特に、慣れてしまうと -dry-run オプションなしにいきなり適用する事があるかもしれません。
この場合、従来のvSphereクラスタではFC HBAのドライバが外れたり、NICのドライバが外れたりして、即座に不具合に気づくことが多かったのですが、
vSANの場合、本来当ててあるべきvSAN HCLに沿ったドライバが、同じハードウェアに対応するvSAN HCLに適応してない別のドライバに置き換わってしまうことがあります。
※特に、ハードウェアメーカー提供のCustom ISOイメージで導入した場合や、PowerCLI Image builderなどで個別にドライバを組み込んだ自作ISOイメージで導入した場合はご注意ください。

この場合、vCenter Web ClientなどでvSAN ヘルスチェックがコンパチ外のドライバに対してアラートを上げますが、気付かずに運用しているとSAS HBAのIO障害などでvSAN上のシステム全断などの大障害になってしまう可能性があります。

通常はESXiにパッチを適用する際は、profile update オプションでパッチを適用する事で、本来のドライバを維持したままパッチ適用が可能です。
※-dry-run で追加、更新、削除されるVIBを確認し、その後に適用する事でより正確に作業が可能です。

#Dry Runの実施
esxcli software profile update –dry-run -d <パッチファイル>.zip -p <プロファイル名> 

※必ずDry Runで変更されるものを確認して下さい。Profile Updateの場合でもVmware提供のパッチにより新しいドライバが含まれれば更新され、互換がずれてデバイスが使えなくなる可能性があります。 

#パッチの適用
esxcli software profile update -d <パッチファイル>.zip -p <プロファイル名>

★参照
以前のドキュメント、Vmware公式ブログにも詳細がありますので参照ください。

VMware Docs

イメージ プロファイルによるホストのアップグレードまたは更新

Vmware ブログ

ESXi 5.1 コマンドラインによるパッチ適用
ESXi 6.0 パッチ適応に関して

vSAN 6.6.1 からの vCenter Update Managerを利用したパッチ適用に関しては以下が参考になります。
vSAN のアップグレードの準備
vSphere Update Manager に向けた vSAN ビルドの推奨事項
vSAN 6.6.1 with VUM Integration