本文將說明在最新的第六代vSAN 6.6有哪些特色功能,並且進行實作示範,讓企業IT能夠了解該如何建立更靈活、具高擴充性以及高可用性的軟體定義儲存運作環境。
因此,透過vSAN延伸叢集運作架構在2個站台之間同步資料,有效解決過去傳統VMware vSphere叢集單一站台故障損壞的問題,透過支援2 Nodes的vSAN運作架構,讓企業或組織可以因應ROBO(Remote Office/Branch Office),例如遠端辦公室或分支辦公室的小型儲存資源需求。
再隔半年後,於2016年3月,VMware官方推出第四代VMware vSAN 6.2版本,這個版本內最重要的功能特色為All Flash運作架構,開始支援「重複資料刪除與壓縮」(Deduplication and Compression)及「RAID 5/6 EC編碼技術」(RAID 5/6 Erasure Coding),如圖5所示,讓採用All Flash運作架構的企業和組織,能夠透過這兩項重要的功能特色節省寶貴的快閃儲存空間。
|
▲圖5 第四代vSAN技術開始支援重複資料刪除與壓縮技術。(圖片來源:VMware vSphere Blog – Virtual SAN 6.2 Deduplication and Compression Deep Dive) |
經過8個月後,到了2016年11月,VMware官方在VMware VMworld 2016大會正式發佈第五代的vSAN 6.5版本,在這個版本中最重要的功能特色為開始支援「iSCSI目標服務」(iSCSI Target Service),如圖6所示,讓企業和組織中必須依靠iSCSI啟動器連接儲存資源的傳統服務,也能夠輕鬆使用vSAN儲存資源。
|
▲圖6 第五代vSAN技術開始支援iSCSI目標服務。(圖片來源:VMware vForum Taiwan 2016 – 再次驅動儲存轉型VMware vSAN 6.5) |
vSAN 6.6新功能介紹
由於最新第六代VMware vSAN總共新增23項特色功能,因此本文將針對所有特色功能進行概要說明,在後續的專欄中再深入剖析各項特色功能並進行實戰演練。首先,可以將這些新增特色功能大致分類,分別為「安全性、管理、部署、可用性、效能」等五大類進行說明。
安全性
在第六代vSAN版本當中,關於「安全性」(Security)方面有兩項新增特色功能,分別是「原生加密」(Native Encryption)及「法務遵循」(Compliance)。主要原因在於,VMware所擘劃的SDDC軟體定義資料中心願景當中,VMware vSAN擔任軟體定義儲存的重要角色。可以想見,當企業和組織將大量的VM虛擬主機運作於vSAN環境中,同時VM虛擬主機內更存放著大量企業和組織的機敏資訊。
因此,確保vSAN儲存資源的安全性機制將相形重要,在新版vSAN 6.6運作環境中,VMware達成HCI超融合基礎架構原生加密解決方案。簡單來說,這個加密解決方案是內建在vSAN軟體定義儲存技術內,只要在管理介面中進行相關組態設定,便可以針對vSAN Datastore儲存資源進行「啟用╱停用」加密機制。
同時,因為vSAN 6.6 Native Encryption加密機制是座落在「Hypervisor層級」,而非VM虛擬主機層級的加密機制,所以vSAN 6.6 Native Encryption加密機制與「硬體無關」,無須依靠專用且昂貴的「加密磁碟」(Self-Encrypting Drives,SED),就可以輕鬆達成企業機敏資料加密的目的,如圖7所示。
|
▲圖7 新版vSAN 6.6達成HCI超融合基礎架構原生加密解決方案。(圖片來源:VMware vSAN 6.6 – Discover Native HCI Security) |
但是,使用vSAN 6.6原生加密機制時必須注意以下的事項:
1. vSAN原生加密機制必須以「vSAN叢集」為單位,進行vSAN原生加密運作機制的啟用及組態設定作業。
2. 當IT管理人員對vSAN叢集啟用原生加密機制後,系統將會採用「XTS AES 256」加密演算法對vSAN Datastore儲存資源中「快取」(Cache)及「容量」(Capacity)層級的儲存資源進行加密保護,如圖8所示。
|
▲圖8 啟用vSAN原生加密運作機制。(圖片來源:VMware StorageHub – Native Encryption) |
3. 由於vSAN原生加密運作機制是座落在整體vSphere儲存堆疊架構中「裝置驅動層級」(Device Driver Layer)之上,所以不管是vSAN延伸叢集、vSAN重複資料刪除、vSAN壓縮或Erasure Coding等特色功能,皆能協同運作不受任何影響。
4. vSAN原生加密運作機制,與vSphere進階特色功能,例如vSphere vMotion、vSphere DRS(Distributed Resource Scheduler)、vSphere HA(High Availability)、vSphere Replication等特色功能,皆能協同運作不受任何影響。
5. vSAN原生加密運作機制,符合「2-Factor Authentication(SecurID and CAC)」驗證機制,同時vSAN也是第一個通過DISA/STIG認可的HCI超融合解決方案。
6. 啟用vSAN原生加密運作機制的操作步驟,與啟用vSphere 6.5當中VM虛擬主機加密機制一樣,在運作環境中都必須要有KMS(Key Management Server)才行(圖9)。同時,只要是符合KMIP 1.1標準的KMS供應商產品即可,例如HyTrust、Gemalto、Thales e-Security、CloudLink、Vormetric等等。
|
▲ 圖9 透過vCenter Server管理平台組態設定KMS加密伺服器。 (圖片來源:VMware StorageHub – Native Encryption) |
7. 雖然啟用vSAN原生加密運作機制的操作步驟非常簡單,但是當IT管理人員啟用vSAN原生加密機制之後,快取及容量層級儲存裝置的「磁碟格式」(Disk Format)將需要「重新格式化」,並且在啟用成功後可以透過ESXi Shell的「esxcli vsan storage list」指令進行確認,只要看到磁碟格式欄位顯示「Encryption: true」的訊息,就表示加密作業成功。值得注意的是,不管是啟用或停用vSAN原生加密機制,因為必須將磁碟格式重新格式化,所以vSAN儲存資源若儲存資料量非常龐大時,將會花費大量的時間進行資料遷移作業。