本文將介紹Azure Stack HCI 23H2版本內的新功能,並透過實作的方式說明如何建立AzSHCI單節點超融合叢集,並且部署精簡佈建磁碟區,以供後續VM虛擬主機和容器等工作負載使用,這樣IT管理人員就能夠快速建立研發和測試AzSHCI超融合叢集環境。
隨著Microsoft Ignite 2023大會,順勢發布的最新Azure Stack HCI 23H2公開預覽版(Public Preview),其最大的功能亮點在於,微軟觀察到零售、製造、醫療等等行業,在實際營運環境中經常會分布在許多地理位置不同的邊緣地點,這些邊緣地點的營運環境不僅分散,並且也非企業和組織常見的地端資料中心內完善的運作環境。
因此,對於這樣新興的營運環境需求,從最新的Azure Stack HCI 23H2版本開始,嘗試支援從Azure公有雲環境,部署及管理這些地理位置不同邊緣地點中的HCI超融合環境,如圖1所示。本文後續將Azure Stack HCI超融合基礎架構簡稱為AzSHCI。
圖1 透過Azure公有雲同時管理不同地理位置的HCI超融合叢集。 (圖片來源:Accelerate edge deployments with cloud-managed infrastructure and Azure Stack HCI version 23H2 - Microsoft Community Hub)
Azure Stack HCI 23H2特色介紹
Azure Stack HCI 23H2提供了幾項新功能,以下分別介紹。
雲端部署
AzSHCI超融合叢集是如何達成「雲端部署」(Cloud-Based Deployment)的呢?首先,企業採購的伺服器到達邊緣位置後,如果已經預先安裝好AzSHCI超融合作業系統,那麼現場人員只需要確保網路連線,並與Azure Arc建立初始網路連線,便可以透過Azure公有雲環境,從AzSHCI超融合叢集部署、儲存集區資源、完成網路組態設定等等。倘若有數量龐大的邊緣位置需要部署,也能夠透過「Azure資源管理員」(Azure Resource Manager,ARM),以「基礎架構即程式碼」(Infrastructure-as-Code,IaC)的方式,進行大規模的部署作業。
集中管理所有工作負載
由於邊緣位置的AzSHCI超融合叢集,已經透過Azure Arc基礎架構串連在一起,所以在Azure Portal管理介面中可以開始設定和啟用Arc虛擬主機、Azure Kubernetes Service(AKS)容器叢集、Azure Virtual Desktop(AVD)虛擬桌面會話主機,如圖2所示,讓管理人員可以在同一個管理介面中,分別管理及部署不同的工作負載類型。
圖2 透過Azure Portal管理介面,部署和管理不同地理位置的工作負載。 (圖片來源:Accelerate edge deployments with cloud-managed infrastructure and Azure Stack HCI version 23H2 - Microsoft Community Hub)
支援可信任啟動安全性機制
在現今網際網路環境中,網路威脅情勢不斷地迅速變化,攻擊手法也轉變為日趨複雜,然而隨著企業組織的數位轉型風潮,導致許多營運用途的應用程式和基礎設施處於邊緣位置。因此,在Azure Stack HCI 23H2版本中,將各項安全性設定與Microsoft Defender for Cloud進行整合,讓屆時AzSHCI超融合叢集所部署的VM虛擬主機也支援可信任啟動保護虛擬機器選項,如圖3所示,確保部署的VM虛擬主機,能夠更有效阻擋不斷演變的惡意攻擊手法。
圖3 AzSHCI超融合叢集支援部署可信任啟動保護VM虛擬機器選項。 (圖片來源:Accelerate edge deployments with cloud-managed infrastructure and Azure Stack HCI version 23H2 - Microsoft Community Hub)
實作Azure Stack HCI 23H2 單節點叢集
由於本文撰寫期間,Azure公有雲的AzSHCI雲端部署功能,僅支援採用實體伺服器,尚未支援VM虛擬主機進行部署。因此以下的實戰演練將使用巢狀式技術搭配地端資料中心的部署方式,來建構AzSHCI超融合叢集環境。
部署支援巢狀技術VM虛擬主機
原則上,只要採用支援的硬體主機和作業系統版本,便能部署AzSHCI超融合叢集,然而對於中小型的企業組織來說,IT管理人員可能沒有多台或符合軟硬體需求的主機。此時,便可以在內部資料中心部署支援巢狀式VM虛擬主機環境,或是透過Azure公有雲環境,部署支援巢狀式虛擬化環境的VM虛擬主機。
值得注意的是,無論是內部資料中心自建或採用Azure公有雲環境,部署支援巢狀式虛擬化環境的VM虛擬主機,所建構的AzSHCI超融合叢集,都僅適用於研究和測試用途,不適用於真實營運環境。此外,AzSHCI單節點超融合叢集,僅支援採用單一儲存裝置,例如NVMe或SSD的All-Flash運作架構,不支援採用混合式儲存裝置,例如NVMe+SSD、NVMe+HDD、SSD+HDD等等,這是採用實體伺服器建構AzSHCI單節點超融合叢集時,必須特別注意的地方。
本次實作將會在一台支援巢狀式虛擬化的Azure VM虛擬主機中,建立多台VM虛擬主機,達成部署AzSHCI超融合叢集的目的。值得注意的是,Azure VM Gen2世代虛擬主機預設在安全性類別採用「Trusted launch virtual machines」選項,以便支援Secure Boot和vTPM等新式安全性機制,但此舉卻會導致巢狀式虛擬化機制無法運作。
所以,在建立支援巢狀式虛擬化的Azure VM虛擬主機時,記得將安全性類別選擇為「Standard」項目,如圖4所示,才能確保巢狀式虛擬化技術正常運作,詳細資訊請參考Azure VM的可信任啟動-Azure Virtual Machines | Microsoft Learn官方文件說明。
圖4 選擇安全性類別為Standard,確保巢狀式虛擬化功能順利運作。
由於在Azure公有雲環境中,管理人員無法碰觸到Azure公有雲底層的Hyper-V虛擬化平台,因此必須建立NAT vSwitch虛擬交換器,以便稍後建立的DC網域控制站和AzSHCI虛擬主機,能夠透過第一層Hypervisor虛擬化管理程序所建立的NAT vSwitch虛擬交換器,進行網路封包路由。
在本文實作環境中,建立的NAT vSwitch虛擬交換器名稱為「AzSHCI-NATSwitch」,稍後處理的網路位址轉譯IP網段為「10.10.75.0/24」,預設閘道IP位址是「10.10.75.1」。
在Azure VM虛擬主機中,開啟PowerShell指令視窗並鍵入「New-VMSwitch -Name "AzSHCI-NATSwitch" -SwitchType Internal」指令,建立給第二層VM虛擬主機使用的NAT vSwitch虛擬交換器,並且連接類型為「Internal network」,如圖5所示。
圖5 透過Hyper-V管理員查看建立的NAT vSwitch虛擬交換器。
接著,執行「New-NetIPAddress -IPAddress 10.10.75.1 -AddressFamily IPv4 -PrefixLength 24 -InterfaceAlias "vEthernet(AzSHCI-NATSwitch)"」指令,為這台NAT vSwitch虛擬交換器組態設定預設閘道IP位址為「10.10.75.1」。
再執行「New-NetNat -Name " AzSHCI-NATSwitch" -InternalIPInterfaceAddressPrefix "10.10.75.0/24"」,組態設定這台NAT vSwitch虛擬交換器處理的NAT網路位址轉譯IP網段為「10.10.75.0/24」。
一旦NAT vSwitch虛擬交換器成功建立並完成組態設定,便可以分別執行「Get-VMSwitch」、「Get-NetIPAddress -IPAddress 10.10.75.1」、「Get-NetNat」等指令,確認NAT vSwitch虛擬交換器組態設定內容是否正確無誤,避免後續發生網路不通或無法路由的情況。
部署DC和AzSHCI主機
首先,分別下載Windows Server 2022映像檔以及最新版本的Azure Stack HCI 23H2映像檔。在本文實作環境中,新增一台VM虛擬主機,擔任DC網域控制站的角色,組態設定的IP位址為「10.10.75.10」,並部署建立「lab.weithenn.org」的網域名稱,如圖6所示,同時建立DNS名稱解析服務,以及稍後AzSHCI主機能夠加入網域環境,並使用正確的DNS名稱解析。
圖6 部署並建立lab.weithenn.org網域名稱。
為了方便大家建立AzSHCI超融合叢集環境,將採用「單台」節點主機的方式建立。值得注意的是,單台節點主機的AzSHCI超融合叢集環境,至少要採用Azure Stack HCI 22H2版本,或是本文採用的最新Azure Stack HCI 23H2版本才行。
在建立AzSHCI主機時,除了作業系統硬碟外,還額外配置四個3TB固態硬碟(SSD),屆時為超融合儲存集區的儲存空間。在AzSHCI主機處於關機狀態時,執行「Set-VMProcessor -VMName $HCINode -ExposeVIrtualizationExtensions $true」指令,為名稱為「AzSHCI」的第二層VM虛擬主機,啟用vCPU虛擬處理器硬體輔助虛擬化擴充功能,確保AzSHCI主機能夠正確接收到,底層Hyper-V虛擬化平台所公開和傳遞而來,Intel VT-x及EPT硬體輔助虛擬化技術。順利啟用後,請再次進行確認「ExposeVirtualizationExtensions」欄位值是否為「True」,確保啟用的工作任務已套用生效,如圖7所示。
圖7 為AzSHCI主機啟用vCPU虛擬處理器硬體輔助虛擬化擴充功能。
原則上,AzSHCI主機超融合作業系統的安裝流程,與傳統Windows Server安裝程序相同,如圖8所示,安裝作業完成後,系統將自動彈出命令提示字元視窗,並提醒管理人員設定Administrator管理者密碼。完成管理者密碼設定後,便自動進入「伺服器組態設定工具」(Server Configuration Tools,SConfig)互動設定視窗。
圖8 安裝最新Azure Stack HCI 23H2版本超融合作業系統。
透過SConfig伺服器組態設定工具,可以輕鬆為AzSHCI主機進行基礎架構的組態設定作業,包含電腦名稱、IP位址網路組態設定、變更系統時區和時間、安裝最新安全性更新、加入網域環境等等工作任務。
在本文實作環境中,將AzSHCI虛擬主機的電腦名稱變更為「AzSHCI」、網路組態設定固定IP位址為「10.10.75.23」、變更系統時區為「(UTC + 8)Taipei」,並且在安裝完最新安全性更新並重新啟動後,加入「lab.weithenn.org」網域環境,如圖9所示。
圖9 為AzSHCI主機進行基礎設定並加入lab.weithenn.org網域環境。
AzSHCI主機基礎設定完成後,先確認額外配置的四個3TB固態硬碟是否能夠正確被系統識別,確保稍後建立超融合儲存集區時,能夠順利將固態硬碟加入並匯整至儲存集區內,成為日後VM虛擬主機或容器等工作負載的儲存資源。
管理人員可以直接開啟AzSHCI主機的Console畫面,離開SConfig伺服器組態設定工具後進入PowerShell指令環境,或是在Azure VM虛擬主機環境中執行「Enter-PSSession -VMName "AzSHCI" -Credential lab.weithenn.org\Administrator」指令,待通過使用者身分驗證程序後,遠端連線至AzSHCI主機的PowerShell指令環境。
執行「Get-PhysicalDisk | Sort-Object -Property Size」指令,檢查AzSHCI主機儲存裝置,並以Size欄位將顯示結果進行排序,確保四個3TB固態硬碟中,每個CanPool欄位值皆為「True」,屆時這四個儲存裝置才能順利加入至超融合儲存集區中,如圖10所示。
圖10 確保系統識別四個3TB固態硬碟且CanPool欄位為True。
接著執行「Install-WindowsFeature」指令,為AzSHCI主機安裝必要的伺服器角色和功能,例如DCB資料中心橋接(Data-Center-Bridging)、容錯移轉叢集(Failover-Clustering)、檔案伺服器(FS-FileServer)、Hyper-V PowerShell管理工具等等,系統在安裝完畢後,提醒必須重新啟動主機才能套用生效。
由於Install-WindowsFeature安裝指令會在安裝過程中執行相容性檢查,但因為本文是巢狀虛擬化測試環境,倘若使用Install-WindowsFeature指令,為Azure Stack HCI超融合作業系統安裝Hyper-V虛擬化功能時,將會因為相容性檢查作業未通過而發生失敗的情況。
因此改為使用「Enable-Windows OptionalFeature -Online -FeatureName "Microsoft-Hyper-V" -All -NoRestart」,確認安裝結果為True之後,再執行「Restart-Computer」指令重新啟動主機,以便安裝的伺服器角色和功能套用生效,如圖11所示。
圖11 為AzSHCI主機安裝超融合環境需要的伺服器角色和功能。
建立容錯移轉叢集並啟用HCI超融合功能
在本文撰寫期間,最新的WAC(Windows Admin Center)2311版本仍未支援部署及組態設定「單台」AzSHCI超融合運作環境,但若是透過Azure Arc在Azure Portal的話,則支援部署單台AzSHCI超融合運作環境。
可以使用PowerShell指令,執行部署單節點超融合叢集的動作。執行「New-Cluster -Name HCI-Cluster -Node AzSHCI -NOSTORAGE -StaticAddress 10.10.75.20」指令,部署的容錯移轉叢集名稱為「HCI-Cluster」,節點主機名稱為「AzSHCI」,容錯移轉叢集的IP位址則是「10.10.75.20」,值得注意的是必須加上「-NOSTORAGE」參數。
順利部署容錯移轉叢集後,執行「Enable-ClusterStorageSpacesDirect -CacheState Disabled」指令,啟用Storage Spaces Direct的HCI超融合技術,並且停用儲存體快取機制,在系統詢問是否啟用HCI超融合技術時,鍵入A即可,當系統啟用完成後便會產生名稱為「EnableClusterS2D」的HTML格式報表檔案。執行「Get-StoragePool」指令,可以看到系統已經透過啟用HCI超融合技術,將四個3TB固態硬碟空間匯整為12TB的儲存集區,如圖12所示。
圖12 建立容錯移轉叢集並啟用HCI超融合技術。
註冊WAC管理平台
雖然最新版本的WAC管理平台尚未支援部署單節點AzSHCI超融合叢集,但是當手動部署HCI超融合叢集後,同樣可以透過WAC管理平台管理和組態設定AzSHCI超融合叢集,並新增及建立相關工作負載,例如VM虛擬主機、容器等等。
由於WAC安裝程式無法安裝在DC網域控制站中,所以建立另一台安裝Windows 10的VM虛擬主機,並安裝WAC管理平台。順利通過使用者身分驗證機制,登入WAC管理平台後,依序點選「Add > Add or create resources > Server Clusters > Add」,在Add Cluster欄位中鍵入「HCI-Cluster.lab.weithenn.org」叢集名稱,系統便會自動掃描和探索到此HCI超融合叢集,如圖13所示。
圖13 在WAC管理平台中新增管理名稱為HCI-Cluster的超融合叢集。
順利連線並納管HCI-Cluster超融合叢集後,便可以透過WAC管理平台來查看AzSHCI超融合叢集的各種使用率和工作負載資訊,包括超融合叢集節點主機數量和資訊、儲存裝置數量和資訊、管理VM虛擬主機、超融合叢集CPU/Memory/Storage資源使用資訊、IOPS儲存效能、Latency延遲時間、Throughput傳輸速率等等。
在WAC管理介面中可以看到,系統提示必須先將此台WAC管理平台註冊至Azure公有雲環境中,如圖14所示,才能為剛才部署的單節點AzSHCI超融合叢集進行註冊的動作,後續才能導入Azure Monitor監控機制、啟用Azure Benefits權益、建置AKS容器平台等等,達成混合雲運作架構。
圖14 系統提示必須先註冊WAC管理平台。
在WAC管理平台中,依序點選「Settings > Register > Register with Azure > Register」,在彈出的對話視窗中,於Select an Azure cloud下拉選單中選擇「Azure Global」項目,然後在Copy this code欄位中按下〔Copy〕鈕,並點選Enter the code連結,此時瀏覽器將會另開新頁,貼上剛才複製的Code內容,通過使用者身分驗證程序後,系統會提示關閉該新開分頁。
回到原WAC管理介面視窗中,可以發現多了Connect to Microsoft Entra ID的訊息(舊稱為Azure AD),並顯示Microsoft Entra (tenant) ID資訊。在下拉選單中選擇採用的Microsoft Entra ID,再選擇Use Existing或Create New選項後按下〔Connect〕鈕。當系統順利連接至Microsoft Entra ID環境,便會顯示Now connected to Microsoft Entra ID訊息。按下Sign in to Azure選項中的〔Sign in〕鈕,如圖15所示,即可將此台WAC管理主機註冊至指定的Azure訂閱帳戶和Microsoft Entra ID環境中。
圖15 註冊WAC管理主機至指定的Azure訂閱帳戶和Microsoft Entra ID環境中。
值得注意的是,在繼續下一步動作之前,必須先組態設定WAC管理主機,提升並擁有相關API權限,否則後續進階操作將會失敗。登入Azure Portal後,依序點選「Microsoft Entra ID > Manage > App registrations > All applications > WAC > Manage > API permissions」項目,並點選其中一個Delegated項目。點選「Grant admin consent for」項目後,狀態便會從原本的Not granted轉變為Granted,如圖16所示。
圖16 為已註冊的WAC管理主機提升API權限。
回到AzSHCI超融合叢集Dashboard頁面中,點選Azure connection中的Register this cluster連結,在彈出的Register Azure Stack HCI對話框中,在Azure subscription ID下拉選單內選擇要使用的Azure訂閱帳戶,並在Azure Resource Group欄位中選擇Create new項目,鍵入資源群組名稱,本文實作為「RG-EastAsia-AzSHCI」,在Azure Region選擇此資源群組所要使用的Azure資料中心,選擇Azure東亞機房「East Asia」,然後展開Advanced勾選「Enable Azure Arc」項目,連同Azure Arc管理機制一同安裝並註冊使用,確認無誤後按下〔Register〕鈕,立即進行向Azure公有雲註冊AzSHCI叢集和Azure Arc管理機制。
註冊流程開始後,系統將彈出CredSSP視窗,鍵入連接AzSHCI超融合叢集時,使用的CredSSP connection使用者帳號及密碼。通過使用者身分驗證程序註冊成功後,手動開啟另一個視窗,登入Azure Portal中的Resource Group,可以看到剛才指定的「RG-EastAsia-AzSHCI」資源群組已經成功建立。進入之後,在Resources區塊中可以看到註冊成功的「HCI-Cluster」超融合叢集。
確認AzSHCI超融合叢集註冊成功後,切換回WAC管理平台介面,系統顯示註冊成功資訊,而Azure Connection區塊中的Status狀態資訊,也從原本紅色錯誤的Not yet registered狀態,轉變為綠色打勾的Connected狀態,如圖17所示。
圖17 成功註冊AzSHCI單節點超融合叢集。
選擇採用精簡佈建磁碟區
為AzSHCI單節點超融合叢集,建立新式的「精簡佈建」(Thin Provisioning)磁碟區,以供後VM虛擬主機、容器或檔案伺服器等等工作負載使用。
值得注意的是,雖然AzSHCI超融合叢集已全面支援精簡佈建磁碟區,然而預設情況下,系統預設值仍為「固定」(Fixed)磁碟區,因此管理人員可以在建立磁碟區之前,在WAC管理介面中,依序點選「HCI-Cluster > Configuration > Settings > Storage > Storage Spaces and pools > Storage Pool: S2D on HCI-Cluster > Default Provisioning Type」,將預設值的Fixed選項改為選擇「Thin」選項,並按下〔Save〕鈕,將磁碟區預設值修改為採用精簡佈建磁碟區,如圖18所示。
圖18 調整AzSHCI單節點超融合叢集預設改採精簡佈建磁碟區。
雖然將部署磁碟區的預設值調整為精簡佈建磁碟區,但是在建立磁碟區的過程中,還是可以根據需求,為即將建立的磁碟區調整類型為固定或精簡佈建。舉例來說,在建立磁碟區的過程中,鍵入磁碟區名稱和Size空間大小的數值後,只要點選More options展示進階選項,便可以在Provision as區塊中選擇採用固定(Fixed)或精簡佈建(Thin),確認後按下〔Create〕鈕即可,如圖19所示。
圖19 依據需求選擇建立固定或精簡佈建磁碟區。
為了測試精簡佈建磁碟區的彈性,分別建立名稱為「Volume-2TB-Thin」的2TB精簡佈建磁碟區,以及名稱為「Volume-10TB-Thin」的10TB精簡佈建磁碟區,如圖20所示,稍後將查看實際占用儲存集區多少空間。
圖20 分別建立2TB和10TB的精簡佈建磁碟區。
切換到Dashboard主頁後,可以看到雖然建立總共12TB大小的精簡佈建磁碟區,但是在Used欄位仍僅占用「72GB」儲存空間,而Available欄位仍有「11.9TB」可供使用,如圖21所示,顯示精簡佈建磁碟區確實能為企業提供儲存空間彈性。
圖21 採用精簡佈建磁碟區有效提升儲存空間可用率。
結語
透過實作演練,管理人員除了可理解最新Azure Stack HCI 23H2版本特色功能外,還能透過實戰演練建立AzSHCI單節點超融合叢集,並部署精簡佈建磁碟區,以供後續VM虛擬主機和容器等工作負載使用。