vSAN DP實踐資料保護　大舉強化儲存可靠韌性

最新發布的vSAN 8.0 Update 3，雖然看似小版本的更新，事實上不僅增強許多原有功能，甚至推出許多亮眼新功能。舉例來說，在VMware Cloud Foundation（VCF） 5.2版本中，正式支援vSAN Express Storage Architecture（ESA），部署及建構「延伸叢集」（Stretched Cluster）運作架構，除了幫助企業和組織將容錯等級提升至Site Level外，同時消耗更少的vSAN儲存資源，並且在站台與站台之間Inter-Site Link（ISL）傳送的資料也大量減少，如圖1所示。

vSAN 8 Update3新功能介紹

最新發布的vSAN 8.0 Update 3版本中到底有哪些亮眼的特色功能，以下逐項加以說明。

VCF 5.2正式支援vSAN Max

在過去的VCF版本中，針對vSAN超融合叢集類型，僅支援混合儲存及運算的vSAN HCI類型，以及僅運算類型的vSAN Compute Cluster。現在，最新發布的VCF 5.2版本中，已經正式支援專注於儲存類型的「Disaggregated Storage」，也就是vSAN Max，如圖2所示。

vSAN ESA擴充檔案服務支援數量

在舊版本的vSAN ESA運作環境中，啟用vSAN檔案服務時，無論是用於Windows用戶端分享的SMB通訊協定，或是用於Linux用戶端和容器的NFS通訊協定，每個vSAN叢集最大分享總數量為「100」個。

而最新的vSAN 8 U3版本中，一次將vSAN檔案服務的最大分享數量提升為「250」個，如圖3所示，讓每個vSAN叢集能夠承載更多的SMB/NFS分享，以便因應企業組織日漸增加的Kubernetes叢集管理需求。

vSAN DP資料保護機制

最新的vSAN 8 U3版本新增了vSAN Data Protection（DP）資料保護功能，能夠在vSAN ESA叢集中，透過新式的B-Tree快照架構，並以「中繼資料」（Metadata）層級的方式進行快照，所以對於vSAN ESA叢集來說，建立這個原生快照不需要重新產生新的物件和檔案，簡單來說，不會影響vSAN ESA叢集效能。

同時，vSAN DP資料保護技術，整合原有Policy-Based建立的「保護群組」（Protection Groups），來管理受保護的VM虛擬主機，有效避免管理人員的錯誤操作所導致的VM虛擬主機受損，遭遇勒索病攻擊時也能夠快速還原。在啟用「不可變動模式」（Immutable Mode）後，甚至被惡意人士取得vCenter管理權限時，也能有效阻擋重要的保護群組無法被刪除的情況。

此外，在雲端環境的vSAN運作環境中，vSAN DP資料保護技術也已經整合VMware Live Cyber Recovery（VLCR），能有效保護vSAN雲端環境的運作安全，如圖4所示。

在vSAN DP資料保護運作架構中，支援為每台VM虛擬主機建立最多「200」份快照，並且每台VM虛擬主機最多可以加入「3個」不同的Protection Groups當中，以便增加組態設定的彈性。此外，在自動化排程方面也非常靈活，每個Protection Groups最多支援「10」個排程，每個排程都包含定期快照時間和保留期間，如圖5所示。

主動偵測儲存裝置健康狀態

在vSAN超融合叢集中，儲存裝置的健康與否，不僅影響儲存效能的整體表現，倘若損壞更可能影響到VM虛擬主機資料的完整性。因此，在vSAN 8 U3版本中整合vSphere Lifecycle Management（vLCM）機制，允許硬體伺服器供應商調整及支援Hardware Support Manager（HSM）運作元件，以便分析獲得儲存裝置的遙測資料後，透過API傳送至vSAN Health服務，讓系統可以針對儲存裝置的健康情況進行分析作業，預先偵測儲存裝置可能發生的各項健康問題，並將這些分析結果以健康分數進行呈現，方便管理人員協同判斷，如圖6所示。

除了主動偵測之外，現在也支援自訂儲存裝置的耐用度門檻值。事實上，在vSAN超融合叢集中，儲存裝置有可能是不同時期不同類型，甚至是不同品牌的製造商所生產。

舉例來說，在建置初期採用「混合用途」（Mixed-Use）儲存裝置部署vSAN ESA叢集，隨著時間和專案的推進，又新增另一個採用「讀取密集型」（Read-Intensive）部署vSAN ESA叢集。此時，便可以在自訂耐用度門檻值中新增參數，允許在同一個資料中心內不同的vSAN ESA叢集中，同時監控較高和較低耐久性的儲存裝置，並在觸發耐久性門檻值時產生警報，如圖7所示。

快速找出儲存效能瓶頸

無論是預先偵測或主動告警，都能夠幫助管理人員更好地維持vSAN超融合叢集的健康狀態。然而，有時會發生儲存裝置並未故障損壞，並且健康情況也良好尚未到達耐久度門檻，但VM虛擬主機效能表現就是不好。

vSAN 8 U3已經將vSAN I/O Trip Analyzer整合，能夠快速診斷出效能瓶頸的問題發生在哪裡，並且支援最多同時針對「8台」VM虛擬主機進行診斷作業，如圖8所示。

RDMA故障排除再進化

相較於傳統的TCP/IP傳輸，在vSAN超融合叢集中，建議採用更高效能低延遲的RDMA進行儲存傳輸作業，然而在過去的版本中，必須管理人員檢查並確保運作環境，才能確保RDMA正確的運作。

現在，vSAN 8 U3會針對RDMA進行多項健康檢查，包含RDMA網卡是否通過驗證程序，採用的驅動程式和韌體版本是否通過驗證，以確保獲得啟用RDMA的最佳效能，如圖9所示。

實作vSAN DP資料保護機制

vSAN Data Protection（DP）資料保護機制，如圖10所示，為最新vSAN 8.0 Update3版本中導入的新功能，能夠幫忙企業在地端資料中心內的vSAN叢集中，為vSAN儲存資源建立「原生快照」（Native Snapshots），以便完整擷取VM虛擬主機運作狀態，一旦VM虛擬主機發生故障或遭遇勒索軟體攻擊時，便能透過vSAN DP資料保護機制，快速還原受影響的VM虛擬主機，回到先前良好的運作狀態。

部署vSAN SnapService Appliance

在實作vSAN DP資料保護機制之前，必須先在官方網站中「vSAN > Drivers and Tools」項目內，下載vSAN SnapService Appliance的OVA部署檔案，本文實作下載的部署檔案為「snapservice_appliance-8.0.3.0-24057802_OVF10.ova」。

值得的一提是，在部署vSAN SnapService Appliance過程中，系統需要匯入vCenter Server Certificate，所以必須預先下載vCenter Server Certificate，如果管理人員不知道如何下載vCenter Server Certificate的話，可參考VMware KB-330833知識庫文章。

將vSAN SnapService Appliance部署完成後，在vCenter管理介面中的「Configure > vSAN」項目內，便會自動出現「Data Protection」項目，以便進行後續組態設定vSAN DP資料保護機制。

建立Protection Groups

在vSAN DP運作架構中，透過「Protection Groups」機制，可以將一台或多台VM虛擬主機加入至同一個Protection Groups內，便能夠針對這些VM虛擬主機排程及管理快照。

在vCenter管理介面中，依序點選「Cluster > Configure > vSAN > Data Protection」項目，在預設的Summary頁面中，可以看到vSAN DP和快照使用空間的概要資訊，目前尚未建立任何Protection Groups，所以也沒有任何被保護的VM虛擬主機和快照。

值得注意的是，系統提醒資訊中說明了當vSAN Datastore儲存資源使用量超過70%時，系統會停止執行vSAN DP快照的自動化排程作業，以避免vSAN DP快照影響vSAN儲存資源的正常運作，如圖11所示。

依序點選「Protection Groups > Create Protection Group」項目，系統將彈出建立Protection Group對話視窗。在1. General步驟中，先在Protection group name欄位內鍵入Protection Group名稱，本文實作為「Customer Service App」。接著，在下方Membership選項中選擇適合運作環境的選項，本次選擇採用「Dynamic VM name patterns」，如圖12所示，以便稍後加入VM虛擬主機名稱時，可以使用「*」萬用字元。

在2. Add VM name patterns步驟中，於VM name pattern欄位中，鍵入欲加入此Protection Group的VM虛擬主機名稱「CS*」後按下〔Add〕鈕，系統將匹配VM虛擬主機中，名稱開頭為「CS」並符合規則的零個或多個任意字元的VM虛擬主機，系統找到二個符合的VM虛擬主機並顯示在下方，除了「*」萬用字元外，也支援使用「?」字元以匹配一個符合的任意字元，如圖13所示。

然後，在3. Add snapshot schedules步驟中，系統預設採用每天自動建立快照並保留一週，管理人員可以依照需求自行調整快照排程，例如本文實作調整為「每8小時」建立一份快照，並且保留最近「2個月」的快照檔案，如圖14所示。如果管理人員需要多個快照排程時，只要點選下方「Add Schedule」，即可新增另一個快照排程時間。

在4. Review步驟中，再次檢視Protection Group組態設定，若內容無誤即可按下〔Create〕鈕。值得注意的是，建立Protection Group後，系統並不會立即建立一份快照，而是依據剛才組態設定的排程時間來進行快照，如果希望立即保護相關的VM虛擬主機，可以執行稍後提到的手動快照。

建立完成後，在Protection Group頁面中，如圖15所示，就能夠看到剛才建立的Protection Group資訊，下列為每個欄位的概要說明：

‧Protection group：顯示目前系統中已經建立的Protection Group，點選名稱後即可查看詳細資訊。

‧Immutability mode：顯示不可變模式狀態，目前為Disabled的停用狀態。稍後實作中，也將建立啟用不可變模式的Protection Group，管理人員便能理解啟用和停用這兩者的不同之處。

‧Status：顯示此Protection Group的活動狀態，目前為Active的活動狀態，表示系統將會依據組態設定的排程時間，自動化執行建立vSAN DP快照作業。

‧Snapshots：顯示快照份數，目前為0份，必須等到排程時間後系統自動建立，或是管理人員手動建立快照。

‧Latest snapshot：顯示最新建立快照的時間點。

‧Oldest snapshot：顯示最一開始建立快照的時間點。

‧VMs：顯示目前受到Protection Group照快保護的VM虛擬主機數量。

手動建立vSAN ESA Snapshot

事實上，當Protection Group建立完成後，系統就會根據排程時間自動建立快照，如果希望立即保護相關VM虛擬主機，可以手動執行建立vSAN ESA快照的動作。

在Protection Groups頁面中，點選希望建立vSAN ESA快照的Protection Group，點選三個點圖示，在顯示視窗中選擇「Take snapshot」項目，系統將彈出快照作業視窗。在Take snapshot視窗中，會自動產生快照名稱，當然管理人員可以在Snapshot name欄位中變更成自訂的快照名稱，在Retention選項部分，依據運作環境需求選擇適合的選項立即進行快照作業，確認後按下〔Take Snapshot〕鈕，如圖16所示。

順利建立vSAN DP快照後，回到Protection Groups頁面，Snapshots欄位內將從剛才的「0份」和警告圖示，轉變為「1份」快照，並且由於是第一份快照，所以最新和最舊快照時間點是一致的，如圖17所示。

驗證VM Name Patterns機制

由於在建立Protection Groups時採用了動態VM虛擬主機名稱搭配萬用字元的加入方式，因此後續只要新增的VM虛擬主機開頭名稱為「CS」時，系統便會自動將其加入Protection Groups中進行保護。

在vCenter管理介面中，依序點選「Cluster > Actions > New Virtual Machine」項目，並根據系統需求及作業環境考量，建立一台新的VM虛擬主機，本文實作這台VM虛擬主機名稱為「CS-App-03」，如圖18所示。

切換回Protection Groups頁面，再次手動執行建立vSAN DP快照的動作，完成之後，可以看到快照份數的Snapshots欄位從數值「1」轉變為「2」，並且受保護的VMs欄位也從原本的「2」轉變為「3」，表示剛才新增名稱為CS-App-03的VM虛擬主機，已經自動加入Protection Groups並受到vSAN DP的快照保護，如圖19所示。

此外，點選「VMs > Existing VMs」項目，即可查看現有VM虛擬主機中，哪些是被Protection Groups保護的，哪些未被保護，並且每個欄位都可以使用過濾排序功能，方便管理人員檢索及查詢。可以看到CS-App-03虛擬主機，已經被系統自動加入至Customer Service App的Protection Groups中，並且狀態為Protected的受保護狀態（圖20）。

還原VM虛擬主機

一旦VM虛擬主機受到vSAN DP快照保護後，即便VM虛擬主機故障損壞甚至被刪除，都可以透過先前建立的vSAN DP快照進行快速還原。

舉例來說，先手動將剛才建立的CS-App-03虛擬主機，關機後直接刪除，並且在剛才的「VMs > Existing VMs」項目中，已經沒有看到CS-App-03虛擬主機。

這時候，請點選「VMs > Removed VMs」項目，就會看到剛才為CS-App-03虛擬主機建立的快照，點選「Restore VM」項目，如圖21所示，系統將彈出精靈對話視窗進行還原作業。

在Restore VM視窗中，1. Select a snapshot步驟中，可以選擇該台VM虛擬主機的快照還原點，由於本文實作中的CS-App-03虛擬主機只有一份快照，所以無法選擇其他快照還原點，如圖22所示。

在2. Select name and folder步驟中，選擇VM虛擬主機還原後所要存放的資料中心和資料夾，在3. Select compute resource步驟中，則選擇VM虛擬主機放置的叢集和vSAN節點主機，而4. Review步驟中，再次檢視還原組態設定，若內容無誤，按下〔Restore〕鈕就會立即執行還原作業。

快速複製VM虛擬主機

在vSAN DP資料保護架構中，除了將快照用於保護和還原VM虛擬主機外，還有另一個用途也非常方便，便是整合ESA Linked-Clone技術的快速複製機制。舉例來說，當需要對營運服務VM虛擬主機進行相關的測試或研究動作時，為了避免影響到線上服務，同時達成測試或研究的目的，便可使用快速複製機制來達成。

值得注意的是，vSAN DP Clone VM功能，與原有vCenter操作介面中，傳統的Cloning VM動作不同，並且透過vSAN DP Clone VM快速複製產生的VM虛擬主機，並不會受到vSAN DP快照的保護。

在本文實作環境中，選擇使用CS-App-02虛擬主機，點選「Clone VM」項目，在彈出的Clone VM視窗中，於1. Select a snapshot步驟，選擇該台VM虛擬主機的快速複製時間點。在2. Select name and folder步驟中，選擇VM虛擬主機複製後存放的資料中心及資料夾，以及VM虛擬主機名稱，本文實作名稱為「CS-App-02-Clone」。而在3. Select compute resource步驟中，選擇VM虛擬主機放置的叢集和vSAN節點主機，在4. Review步驟中，則再次檢視快速複製組態設定，若內容無誤，按下〔Clone〕鈕即可立即執行快速複製作業，如圖23所示。

如同剛才所述，透過vSAN DP快速複製後的VM虛擬主機，並不會被vSAN DP快照機制所保護，即便管理人員修改Protection Group內容，調整加入VM虛擬主機的規則，從「Dynamic VM name patterns」改為「Individual VM selection」，在指定選擇VM虛擬主機頁面中，除了無法找到快速複製的CS-App-02-Clone虛擬主機之外，也可以看到系統提醒不支援Linked-clone VMs的說明，如圖24所示。

不可變動的Protection Groups

在vSAN DP資料保護機制中，支援另一種特殊的「不可變動模式」（Immutable Mode）。簡單來說，一旦Protection Groups啟用不可變動模式功能，無論是VM虛擬主機名稱規則，或是快照排程及保留期間的組態設定都無法再變更，甚至連Protection Groups也無法被刪除，即便具備vCenter最大管理者權限也無法刪除，這個防護機制的主要目的，是防止惡意攻擊者即便取得系統最大權限，也無法刪除被不可變動模式保護的重要營運服務。

在建立Protection Groups時，本文實作名稱為「IT Services」，只要勾選「Immutability mode」選項，屆時這個Protection Groups便會自動啟用不可變動模式，並且在勾選時，系統也提醒管理人員，一旦啟用後將無法變更及修改Protection Groups組態設定內容，如圖25所示。

建立完成後，在Immutability mode欄位中，可以看到狀態顯示為「Enabled」，如圖26所示，表示這個Protection Groups已經正式啟用不可變動模式。

現在，這個Protection Groups只能手動執行vSAN DP快照作業，以及系統自動排程執行的快照作業，無法調整及編輯Protection Groups組態設定，甚至也不能刪除這個已經建立的Protection Groups，如圖27所示，因此即便惡意人士取得vCenter管理權限，仍然無法刪除這個被vSAN DP快照保護的Protection Groups及相關快照和VM虛擬主機。

＜本文作者：王偉任，Microsoft MVP及VMware vExpert。早期主要研究Linux/FreeBSD各項整合應用，目前則專注於Microsoft及VMware虛擬化技術及混合雲運作架構，部落格weithenn.org。＞