VMware vSAN 6.5 vMotion VMware 高可用性 HA 虛擬化 資安

善用vCSA管理平台 打造原生VCHA高可用性

2017-05-09
本文將介紹vSphere 6.5內的VCHA高可用性運作架構,提出原廠的最佳建議作法,並說明在這個新版本中如何針對vMotion即時遷移流量進行加密,避免遭受中間人攻擊,預防被竄改記憶體,以保護VM虛擬主機進行vMotion遷移時的安全性。

相較之下,在「目的端」ESXi主機上的工作負載差距更小,若未啟用vMotion加密機制,需2.5 Cores運算核心資源,倘若啟用vMotion加密機制,則必須有3.3 Cores運算核心資源。

從測試結果可知,在執行vMotion即時遷移時,來源端比目的端需要更多的CPU運算資源開銷,因為vMotion接收程式碼路徑比起傳輸程式碼路徑需要更多CPU運算資源,同時在加密及解密vMotion即時遷移流量的開銷也不同。

事實上,從測試結果可以看到開啟加密vMotion即時遷移機制後,每增加10Gb/s的網路流量對於CPU運算資源開銷,在來源端或目的端ESXi主機都只須增加1.x Core運算核心資源,如圖7所示。


▲ 圖7 啟用及停用加密vMotion即時遷移機制CPU運算資源開銷比較圖表。(圖片來源:VMware白皮書 – vSphere 6.5 Encrypted vMotion Architecture, Performance, and Best Practices)

同時,為了確保在VMware vSphere 6.5運作環境中,啟用加密vMotion即時遷移機制時能夠得到最佳效能,VMware的最佳建議作法如下:

1. 雖然啟用加密vMotion即時遷移機制並不需要任何硬體設備,但是在選擇ESXi主機硬體伺服器的CPU處理器時,VMware強烈建議選擇具備「高階加密標準新指令」(Advanced Encryption Standard New Instruction,AES-NI)指令集功能的型號,以便啟用加密vMotion即時遷移機制時,能夠對來源端和目的端ESXi主機的CPU工作負載降至最低,如圖8所示。


▲ 圖8 啟用及停用AES-NI加密指令集對於工作負載的效能影響比較圖表。(圖片來源:Intel官網 - AES-NI Encryption)

2. 雖然在剛才啟用及停用加密vMotion即時遷移機制CPU運算資源開銷比較圖表中,已經知道每增加10Gb/s網路頻寬,對於來源端和目的端ESXi主機的CPU運算資源開銷僅約增加1.x Core。但是,這僅用於處理vMotion網路流量的CPU使用率,對於ESXi主機整體處理vMotion工作任務來說,至少需要2 Cores運算資源,因此應確保ESXi主機具備足夠的CPU運算資源,以便確保vMotion即時遷移工作任務能快速且順利執行。

3. 不管啟用或停用加密vMotion即時遷移機制,對於vMotion即時遷移運作效能的最佳建議作法都是相同的。有關VMware vSphere 6效能調校最佳實務的詳細資訊,請參考網管人雜誌第118期《VMware vSphere 6.0效能調校最佳實務》內容的介紹。

結語

透過本文的說明及最佳建議作法,相信大家已經了解在新版vSphere 6.5當中採用vCSA建立原生VCHA高可用性機制時的要點,以及在規劃vMotion即時遷移網路環境時,除了注意獨立隔離且專用的網路環境外,也應針對企業和組織線上營運或存有機敏資料的VM虛擬主機開啟加密vMotion即時遷移機制,避免遭受中間人攻擊,甚至被竄改記憶體狀態導致資安事件。

<本文作者:王偉任,Microsoft MVP及VMware vExpert。早期主要研究Linux/FreeBSD各項整合應用,目前則專注於Microsoft及VMware虛擬化技術及混合雲運作架構,部落格weithenn.org。>


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!