本节书摘来自华章出版社《VMware vSphere设计(原书第2版)》一 书中的第2章,第2.6节,作者:[美] 福布斯·格思里(Forbes Guthrie)斯科特·罗威(Scott Lowe)肯德里克·科尔曼(Kendrick Coleman),更多章节内容可以访问云栖社区“华章计算机”公众号查看。
2.6 安装后的设计选项
从设计角度看,很多host的配置都很重要。你可以将这些配置包含到脚本安装中的安装后环节。使用一个独立的vMA或PowerShell脚本,通过host profile将这些配置推送出去,或者手动配置它们。但是你应该设置它们,因为没有这些host设计是不完整的。
ESXi服务器部署时,你应该考虑如下安装任务:
主机名和IP寻址 在交互式ESXi安装过程中,是没有设定主机名和IP地址的。如果你用的是Auto Deploy,那么这些信息都会在配置过程中提供。你可以在DHCP中配置网络设置,或者指定静态IP地址。已在DNS上注册主机名的ESXi host最好使用静态IP地址,因为它的很多功能都依赖于域名解析和可信赖的IP连接。手动安装后,登录到DCUI然后设定静态IP地址、默认网关、子网掩码,如果是trunk连接的话,还要指定VLAN ID。设置DNS服务器和FQSN(全域名,fully qualified domain name),然后选择Test Management Network 选项。然而,你可能更倾向于使用DHCP通过MAX地址为服务器分配IP地址。但是,使用动态IP地址分配的方式的方法不值得推荐,因为host的IP地址会不断改变 。
网络配置 安装后,你需要为vMotion、FT日志、NFS或软件iSCSI,以及虚拟机端口组等连接配置host网络。第5章将详细介绍主机的网络设计。
NTP 你应该配置ESXi host,使其指向一个权威的时间资源或NTP(Network Time Protocol)服务器。VMkernel的很多方面都依赖于准确的时间,比如日志生成、性能图生成、AD校验等,而且虚拟机还可以通过VMware工具使用这个时间来实现时间同步。
主机证书 所有的ESXi 5 主机都有一个基于自身全域名的唯一的证书。这是一个替代默认证书的好的安全实践。这些证书可以确保host 和vCenter相互信任并加密相互间的通信。替换默认证书的最佳时机就是在将host加入到vCenter前,因为如果后面再做的话,更新证书的时候可能无法访问所有的host。每个ESXi host证书(也包括所有的vSphere 5 证书)是一个X.509 v3 base 64位编码的SSL证书。
连接到vCenter 如果vCenter有授权的话,你可以把host加入到数据中心、文件夹或者集群。连接ESXi host和vCenter会自动创建一个本地vpxuser用户,同时激活vmware-vpxa进程。根据vCenter位置和设置的不同,其他软件,如HA的fdm进程也会在这个时候自动配置。
授权 每个ESXi host都需要一个有效的授权码。在没有授权码的情况下,host会以评估模式运行60天,之后就必须得申请授权码了。通常,vCenter用来集中管理授权码,当host加入到vCenter时,就可以申请授权。但是如果vCenter不可用,你还可以通过vSphere客户端直接申请授权码。服务器使用多个物理socket给host授权。如果没有授权,60天后host会降到上一章介绍过的受限的vSphere hypervisor级别。
打补丁 部署完ESXi host后,将服务器投入生产环境正式上线之前,应该检查并确保所有最新的补丁都安装了。可以使用VUM或ESXi Shell来打补丁。
存储 安装后,你还需要配置host的存储和连接。详情请参见第6章的主机存储设计。
Scratch分区 正如本章所介绍的,有几个场景都没有创建scratch分区,而且scratch目录是保存在不稳定的ramdisk上的。你需要检查host的配置并采取必要的补救措施。主要的方法就是在VMFS卷上创建共享的Scratch目录,然后将所有的host都指向它。可以在每个host的高级配置ScratchConfig.ConfiguredScratchLocation中设置这些信息。
远程日志 如果服务器是无状态或可移除的,而且没有本地硬盘,那么重启后日志就会消失。一个解决办法就是在DataStore上创建一个文件夹来存储每个服务器的日志文件。你可以在高级配置Syslog.global .logDir中实现。另一个方法就是配置ESXi 服务器的syslog进程,将日志转移到远程syslog服务器上。把服务器上的日志文件都发送到集中的工具上是很有好处的,即使是有本地存储的有状态host也有好处,因为这样就可以在一个地方集中分析它们。可以在高级配置Syslog.global.logHost中设置。vSphere 5的一个改进之处就是可以通过SSL发送syslog。关于如何配置syslog,请参考http://kb.vmware.com/kb/2003322. vCenter服务器安装向导中有一个指向到基于Windows的syslog服务器应用的链接,这个应用可以安装到vCenter服务器上,或其他任何Windows服务器上。 VCSA还有一个syslog服务,启用后,可以用来收集host的syslog数据。
转储收集器 有状态安装中,vmkDiagnostic分区是用来存储host异常崩溃时内核内存的转储信息的。如果想集中存储这些信息用于后续调试,特别是无法保留转储信息的无状态host,你可以通过vCenter服务器的安装介质在windows服务器上安装转储收集器服务。此外,VCSA中也有转储收集器服务。
如果vSphere 5.0的host使用的是vDS,那么导出转储信息时会出错。这会很麻烦,因为Auto Deploy部署的host通常都是连接到vDS的交换机,而且需要将转储信息存到其他地方。vSphere 5.1修复了这个问题,如果你要使用Auto Deploy,这是另一个你要选择5.1的原因。
你可以通过如下方法在host中启用转储收集器服务:在host profile中选择Config-uration→Network Coredump Settings→Fixed Network Coredump Policy。
共享的VMware工具目录 当用Auto Deploy部署ESXi时,通常我们会使用没有VMware tool的简化版镜像。如果这样的话,创建集中的VMware 工具目录就很重要了,host可以访问该目录,并重新配置host。
创建共享目录和配置host的简要步骤如下:
- 将安装了VMware工具的ESXi服务器上的/productLocker中的内容拷贝到共享数据存储中的适当创建的文件夹中,且所有host都可以访问这个文件夹。
- 将host profile中的UserVars.ProductLockerLocation属性设置为point to the shared 数据存储 folder。
- 重启服务器使新的host profile设置生效。
ESXi 5.0 GA 和共享的VMware工具目录
ESXi 5.0 GA使用共享VMware工具目录有一个缺陷。请确保你使用的至少是5.0 update1 版本,以避免这个缺陷。
SNMP硬件监控 除了CIM无代理监控外,ESXi还可以使用SNMP发送关于服务器硬件和虚拟机的监控trap。vSphere 5.0在hostd服务中嵌入了SNMP代理,但在5.1中已经进行了去耦合处理,所以SNMP代理已经是一个独立的进程。vSphere 5.1还将SNMP升级到了v3(5.0使用的是SNMP v2),这样就提高了安全性。要在host中启用SNMP监控,需要使用esxcli system snmp命令(在5.0中,需使用vicfg-snmp)。
本地用户许可 本地用户许可有多个选项。你可以通过vCenter服务器为大多数用户分配权限,还可以创建本地用户。如果没有vCenter的访问权限,本地用户还是很重要的。每个host都要配置本地用户,还要像vCenter的角色那样通过给用户赋予角色来分配不同等级的访问和控制权限。如果用户想通过vSphere 客户端、DCUI、或ESXi Shell直接连接host,那么本地host的访问就很重要。vSphere 5.1中,使用ESXi Shell时已经不需要用root用户了。被赋予管理员角色的本地用户对shell有完全使用权限。这意味着所有session都可以根据本地用户来记录日志并审核。vSphere 5.1还可以在每个host上使用host profile来创建本地用户并赋予权限。
活动目录校验 继承AD校验为管理ESXihost的本地访问提供了一个安全且方便的方式。使用AD校验的前提是将host加入到AD,并且用户和组被赋予了相应的权限。默认的AD组使ESX 管理用户可以简化流程,因为这个组已经自动添加到每个host中,且被赋予完全管理员权限。
为了限制访问,你可能还想创建特别的AD组,仅提供到某些host的指定级别的访问权限。通过host中的高级设计还能设置组织ESX admin组来获取完全管理权限:: Config.HostAgent.plugins.hostsvc.esxAdminsGroupAutoAdd。
如果使用Auto Deploy 部署host,一个叫AS校验代理的小工具可以避免在host profile中保存域管理员的用户名和密码。这个校验代理工具在VCSA或vCenter iso镜像中的Windows可安装应用上可以随时拿来使用。
锁定模式 锁定模式是一个vCenter特性,通过强制使所有交互都通过vCenter增强了ESXi host的安全性。它禁用除vCenter的vpxuser用户外的所有用户的远程访问。这意味着它可以充分利用vCenter的集中角色和权限让vCenter来审计所有远程范文。Root用户通过DCUI界面仍可以在本地访问ESXi host。
锁定模式不会禁用本地ESXi shell或远程ESXi Shell 服务,但是它会阻止任何用户(包括root)的访问,因为校验权限被锁定了。
你只能在连接了vCenter的host上启用锁定模式。默认是禁用的,但可以通过vSphere客户端或DCUI来启用。vSphere客户端上的锁定模式界面如图2-4所示。表2-2显示了锁定模式是如何影响host的远程访问方法的。
每个host上使用CIM broker的第三方监控软件也会受到锁定模式的影响。CIM用户肯定会直接连接到host来获取硬件信息,但是在锁定模式下还必须从vCenter去获取校验ticket,这样才能允许使用vpxuser的鉴权信息从hostCIM接口收集详细信息。
锁定模式是可逆的,可以挨个host禁用掉。虽然锁定模式默认是禁用的,但是在整个企业范围内启用它还是很值得的。如果需要远程访问host,那么可以在执行本地管理任务时临时禁用锁定模式,完成后再启用它。然而,通过DCUI启用锁定模式会导致本地用户和组的权限丢失。为了保留本地权限,请通过vCenter来启用锁定模式。
对于每个安全设置,请再执行一步完全锁定模式。通过启用这个模式可以同时启用锁定模式并禁用DCUI。这个操作只能通过vCenter执行,禁止任何人通过root用户在本地用DCUI禁用锁定模式。但是如果禁用了DCUI,那么当vCenter发生故障时,就不能再恢复默认状态了。要想以管理员权限访问host,唯一的方法就是重装ESXi。
安全profile 通过安全profile可以配置ESXi的内部防火墙以保护管理网络端口。默认情况下,除了关键服务使用的端口外,其他端口都是禁用的。
在ESXi host上,你可以启用或禁用对指定远程服务的访问,如图2-4所示。但是只能设置列出的进程是启动还是停止,以及它们的运行级别。在Web客户端上已经列出来了最常用的服务,但是其他端口还需要额外添加作为常规的防火墙规则。你还可以通过IP地址或子网来限制访问。除了使用Web客户端,还可以通过PowerCLI、ESXCLI以及host profile来调整安全profile。
防火墙端口 最终,如果host和其他基础设施设备是被防火墙隔离的,那么你还需要开启一些端口。不要将其与刚才介绍的ESXi本地安全profile防火墙机制混淆。主要端口如表2-3所示,其他端口还包括88/389/445/464/1024 AD、161/162 SNMP, 445 SMB、514/8001 syslog、11/2049 NFS、 3260 iSCSI、6500/8000 Dump Collector、6501/6502 Auto Deploy、 8100/8200 FT和8182 HA。
