VMware Vsphere 6.7 Learning Record----002(VC)

Vcenter Server 作为集中管理的工具,用来管理Esxi主机和它们各自的虚拟机,它就像是一个代理,在Esxi主机加入到Vcenter的平台后,可以通过Vcenter在每*立的Esxi主机上执行任务。每个套件和任何版本的Vsphere都包含了VCenter的授权,这足够说明Vcenter对于VSphere的重要性,尽管VMware的确提供了不同版本的VCenter(VCenter Server Essentials,VCenter Server Foundation,and Vcenter Server Standard),我们只学习Vcenter的标准版。

VMware有很多类型的产品,但是我们会考虑用Vcenter将这些产品进行统一的管理,例如Vrealize Automation,Site Recovery Manager,Vsphere Replication,还有vRealize Operations Manager,所有的这些都依靠一个VCenter Server的实例集成到VMware环境中,不仅如此,VMware的很多高级功能也是仅能通过Vcenter Server来实现的,Vcenter提供的核心服务主要在于以下的几方面:
1.Esxi主机和虚拟机的资源管理
2.模板管理
3.虚拟机的部署
4.虚拟机的管理
5.计划任务
6.数据统计和日志记录
7.警报和事件管理
8.Esxi主机管理
Vcenter Server有两种安装模式,旧的安装模式就是在一台Windows服务器上安装一个应用程序,但是在Vsphere6.7之后的版本将不再支持这种部署了,Vsphere6.7是最后的一版支持windows类型的Vcenter Server.两种模式的另外一种则是一个基于Linux的虚拟应用,这种方式能够快速简单的部署一个完整的Vcenter平台。
Vcenter还有一些不是特别核心,但是非常有用的功能,比如:
1.集中化用户授权
2.Web客户端服务器
3.可扩展的架构

集中化用户授权虽然算不上VC的核心服务,但是它是VC和很多其他VM产品操作的基础,通俗的说,如果没有VC,那你就需要在每台Esxi主机上去为每一个管理员建立一个账号,如果Esxi主机越来越多,那么你需要的管理员也增加了,那需要建立的账号就也跟着成倍的增加,我们有办法解决这个问题,其中一个办法是将Esxi主机与我们的AD域结合,通过域账号来对VC中的主机和虚拟机进行授权。
如果说你的虚拟化环境中只有1台或者2台Esxi主机,那么管理工作对你来说不是什么很大的问题,为管理员创建用户账号也不是什么很大的负担。
但是如果你的虚拟化环境扩大了呢?假如Esxi主机变成10台,管理员增加了5个,那你要建多少个本地账号给管理员?每台主机5个账号,你得重复50次创建账号的动作,累不?枯燥不?如果公司有安全要求,每个账号的密码要定期变更,你需要到每个主机上去操作密码变更,呵呵,开心不,想必你是不会想让自己处于这种环境中的。
平台服务控制器是救你脱困的法宝,更准确的说是VC单点登录服务,它包括安全令牌服务和身份管理服务,如果单点登录服务不可用,那你的VC就无法安装,它是VC安装的前置条件。
VC在部署Vsphere的时候并不是必要组件,但是如果你没有安装VC,那么你就无法使用Vsphere提供的那些高级功能,例如HA,DRS,分布式交换机等等。

在Vsphere5.1之前,我们登录VC的时候,认证请求会被转发到VC的本地安全性验证或者上传到AD,在6.7的版本中,单点登录的请求依然可以发送到AD做认证,但是它现在还可以将请求转发给单点登录自身创建的一个用户列表中进行认证,或者转发给SAML2.0进行验证。一般来说,单点登录对于VMware产品是一种更安装的认证方式,为什么说是对于VMware的产品,而不是对于Vsphere, 因为单点登录不仅仅是用于VC,还用于VMware的其他产品,Vrealize Orchestrator,VRealize Operations Manager这些也能够使用单点登录作为认证方式。为什么单点登录这么重要,因为单点登录只需要对一个用户账号授权,就可以让这个账号访问虚拟架构中所有被授权的资源,而且非常的安全。
下面我们来看一下一个账号单点登录的过程:
1.Vsphere Web客户端会提供一个安全的Web登录页面
2.我们输入账号和密码,他们会被发布给单点登录服务器(账号密码会以SAML2.0令牌格式发布)
3.单点登录服务器将请求发送给相关的认证机制(本地,AD或者其他的SAML2.0认证服务)
4.如果认证成功,单点登录服务器就会将令牌传给Vsphere Web客户端
5.这个令牌可以用于VC的认证和其他的集成单点登录服务的VMware产品
认证过程可以参考下图:
VMware Vsphere 6.7 Learning Record----002(VC)

Vsphere6.0版本引入了一个新的组件,PSC(Platform Services Controller)平台服务控制器,6.5和6.7版本中也带有这个组件。它常作为VMware产品的通用组件,PSC提供了多种服务,如下:
1.单点登录服务
2.许可授权服务
3.证书颁发服务
4.证书存储服务
5.服务注册服务
单点登录服务由PSC提供用作认证中介和安全的令牌交换,并且该服务可以在多个VC实例或者其他VMware产品*享。
当Vsphere环境和其他的产品运行在PSC中,许可授权服务可以将所有的许可信息统一管理起来,如果在不同的地理位置安装多台VC,许可授权服务能够统一发布许可,不需要在安装VC的时候再次填写许可。
证书颁发和存储服务,它允许自建证书颁发给VC和Esxi主机,或者将第三方证书保存,然后指派给VC和Esxi主机。
服务注册的工作方式类似名称推荐,他会给当前环境中所有可用的VMware服务建立一个注册索引,如果所有的VMware产品通过服务注册将自己注册到索引中,那这个索引会非常有用。产品注册完成后,我不再需要将每个组件的详细信息逐个的提交给其他组件,服务注册会自动帮我们完成这个工作。
我们在部署VC前,先要考虑好用什么版本的VC,根据自己的需求环境进行版本选择,不过我们要清楚在6.7版本之后的VC都不在支持Windows版本了,所以我们优先考虑使用VCSA,当然你也可以先部署windows版本的,然后以后用VC应用迁移工具去迁移。
VC作为管理虚拟化基础架构的关键应用,我们部署前需要尽量去完善部署的方案,以保证可用性和数据安全。我们通常需要考虑以下几个问题:
1.我们安装VC需要什么样的硬件配置
2.VC要不要做HA
3.VC的灾难恢复需要怎么做
4.如果我把VC装在虚拟机上,是否需要一个分离的管理群集
5.我们该将VC嵌入安装在PSC中还是独立安装在PSC外

首先我们来讨论一下硬件的规划,VC的硬件数量跟将要管理的Esxi主机和虚拟机的数量有直接的关系。如果我们选择安装Linux版本的VC,那么最小配置需求如下:
1.2核vCPU
2.10G内存
3.300G硬盘
4.一块千兆以上的网卡
上面的这个配置是最小配置,也就是最低要求,这个配置大概能管理10台esxi主机和100台虚拟机,大型的企业环境中会有更多的esxi主机和虚拟机,所以VC的配置是肯定要相应的增加的。
VMware的官方有VC和对应虚拟环境规模的参照,如下图:
VMware Vsphere 6.7 Learning Record----002(VC)

在规划VC配置的时候不仅仅只是考虑CPU和内存资源就够了,我还要考虑它的续航能力和灾难恢复。一旦我们的VC服务器挂了,那么Vsphere的众多高级功能将无法使用,Vmotion,DRS,HA,FT等等。而且你无法通过虚拟机模板进行克隆,无法集中授权,所以强烈建议部署VC的时候要把高可用考虑进去。
PSC是VC不可或缺的部分,如果没有PSC,那么VC将无法登录和管理。因此我们在制定VC的保护策略时,要将VC和它的相关组件都考虑进去。我们可以通过三种方式来降低或者杜绝PSC节点故障:部署HA群集,部署多节点,一个完善稳定的备份计划。
在安装PSC的时候,我们可以将新的PSC加入到现有的PSC站点中组成一个PSC HA,如果我们采用了HA架构,那么所有的PSC实例必须在前端运用负载均衡。这样的架构能够避免我们的单点登录应用和服务器的宕机影响。不过有一点,如果我们多台PSC部署在同一个站点,那么不是一定要配置负载均衡,因为同一个站点中会被预设成高可用。
如果在你的环境中配置PSC的高可用过于复杂,那么我们可以考虑部署主备模式来保障冗余性,负载均衡模式可以在节点之间进行无缝切换,在主备模式中我们需要手动将VC重新指向备用的PSC节点,这个操作会让VC有一段停机时间,所以选用哪种模式则取决于你们对于业务运行的SLA级别,高级别的推荐部署HA,级别不高的可以使用主备。
如果你觉得上面两种模式都不适合你的环境,那还有一种方式,PSC的多节点,这种模式会在多个物理位置安装PSC,这种模式通常会部署于那些需要从多个位置登录的环境,但是这个和同一个站点有多个PSC节点类似,只不过需要管理员去手动切换VC指向的PSC站点。最佳部署应该是多站点结合每个站点部署HA,但是考虑到如果这样部署会让环境更加复杂不易管理,如果不是有非常严格的业务在线要求,不推荐部署多站点PSC HA架构。
如果VC是一台物理机,那么我们可以部署另外一台备用的VC,当正在使用的VC服务器挂了之后,我们可以将备用的VC启用,接管原有的VC功能。主VC挂了之后,我们启动备用的VC,然后将这台备用VC与当前的SQL数据库连接,这样新的VC就可以接管之前VC的功能,保障业务的可持续性。如果我们打算使用这种方式,我们需要使用一种同步机制,让主备VC之间能够同步文件系统内容和配置设定。如果我们用的是基于linux的VCSA,那么就非常简单了,因为VCSA是一台虚拟机,我们可以将它克隆作为备用的服务器。
如果我们用物理机去安装的VC,那么我们也可以通过P2V的方式,将物理机转成虚拟机,然后作为备用的VC服务器,这样也可以将主备VC的重要数据进行同步,这种方式仅适用于安装在物理服务器上的windows版本的VC。
如果我们安装的是Linux版本的VCSA,那么Vsphere6.5版本的时候自身就已经准备好了一种解决方案,VCHA,这种方案架构是搭建一个3个节点的群集,一个主动节点,一个被动节点,还有一个仲裁节点,通过3个节点的关联,自动的去同步和故障转移。仲裁节点会有仲裁行为,根据主备节点的网络连通状况执行主备节点的切换。
最后,不可忽略的是VC的备份恢复策略,用以确保VC的应用服务器和相连的数据库服务器具有冗余能力和数据保护能力。
基于windows的VC要实现高可用,可以将后端的数据库配置成群集模式,例如我们用SQL作为后端的数据库,我们可以将SQL配置成always on或者Mirroring模式。此外我们可以使用SQL自带的备份功能对数据库进行备份,以便能够在数据出现丢失或者中断的时候能够快速的还原。
在Vsphere6.7的版本中,HT做了较大的改进,以前的版本FT仅支持1核的vCPU虚拟机,如果你想对配置了2核或者以上vCPU的虚拟机配置FT功能是无法实现的,但是在6.7之后的版本中,FT最大支持8vCPU的虚拟机,那么我们的VC和PSC就可以通过FT功能来确保他的冗余和高可用。

如果想要下载最新版的VC可以到www.vmware.com/download 去下载,当然里面也有旧版的VC和VMware的其他产品下载。
我们如果部署VCSA的话,就不需要有太多管理员干涉的操作,而且部署非常的快,我们将VCSA的安装文件挂载后,就只需要双击VC安装目录中的OS-专用安装包即可。

VMware Vsphere 6.7 Learning Record----002(VC)

上一篇:Linux下如何安装Tomcat 6步骤


下一篇:MacOS虚拟机忘记密码解决方案