許多IT管理人員對於vSphere平日的維護與管理肯定會有許多疑惑,想要完全掌控vSphere的維運工作並不難,只要先掌握住一些新手常見的問題,往後就能夠輕鬆地面對各種進階的部署、管理以及整合任務。為此,本文將提供vSphere 8新手常見的問題解答。
對於企業IT新手而言,任何新系統的導入,首要的考量重點不可放在產品功能或價格,而應當留意該系統的資源與支援在整個IT世界裡是否充足。IT新手對於系統的維運所會面臨的窘境,不會是在系統本身的複雜度,而是在於沒有充分的資源可以參考。接著,在支援方面當然最重要的就是原廠所提供的技術支援。若企業IT中所導入的解決方案,每當需要技術支援時就得撥打一通需九彎十八拐的電話才能夠轉接至國外客服人員來諮詢問題的話,就表示在所在國家地區的市場並沒有受到重視,這對於企業IT來說便是一項極具風險的投資。
對於剛接觸不久的IT人員而言,必須懂得優先收集技術資源,這包括線上高度活躍的技術社群以及線下的相關書籍、雜誌、研討會,並且將這些收集好的資源做好基本分類的管理,這將有利於提升平日維運過程中解決問題的效率。而除了平日需要養成收集資源的好習慣外,對於一些國內外專家所分享的實務技巧,最好都在實驗室的環境中演練過,如此才能夠在實際需要使用時發揮作用,像是常用的管理技巧、故障排除經驗等等。接下來,就與大家分享在VMware vSphere 8中新手IT一定要學會的幾個常用維運技巧。
如何使用SSH進行遠端管理
想要在vSphere的架構中執行ESXCLI命令,基本上有兩種方法。第一種做法是直接在主機端的DCUI(Direct Console User Interface)介面中,透過按下〔ALT〕+〔F1〕鍵來開啟Shell命令的操作模式,若要回到Console操作介面則按下〔ALT〕+〔F2〕鍵。
第二種做法當然就是透過更方便的SSH Client工具進行遠端連線,因為無須進入到主機房內操作,只要在允許連線的網路中就可以隨時開啟連線。無論是採用哪一種做法,只要進入到命令提示字元下,便可以開始執行任何ESXi所支援的命令與參數,不過前提是必須主機已經啟用SSH服務。
至於啟用與關閉SSH服務的方法也有很多種。第一種方法是透過主機端的DCUI主控台來完成。在主頁面中按下〔F2〕鍵,進入「System Customization」頁面後點選「Troubleshooting Options」。如圖1所示,接著便會看到ESXi Shell與SSH兩項服務,分別在選取後按下〔Enter〕鍵,即可將它們設定為啟用(Enable),若再次按下〔Enter〕鍵便會進行關閉(Disable)。
再來學習第二種方法,在連線登入ESXi Host Client網站後,點選至「管理」頁面。如圖2所示,在「服務」子頁面中,便可查看到TSM(ESXi Shell)和TSM-SSH(SSH)兩項服務。在選取後,將它們一一「啟動」即可。
最後一種方法是針對ESXi主機已納入vSphere Client管理的做法。首先,連線登入vSphere Client網站,並點選至ESXi主機節點中的「設定」→「服務」頁面,在此除了可針對選定的「SSH」或「ESXi Shell」服務點選執行「啟動」或「停止」之外,還可以進一步點選「編輯啟動原則」超連結。
在「編輯啟動原則」頁面中,可以自行選擇服務的啟動方式。如果希望維持在啟動狀態,就選取「隨主機一起啟動和停止」,否則建議維持預設的「手動啟動和停止」配置。值得注意的是,若是從DCUI命令介面中來啟動ESXi Shell與SSH服務,則預設的原則配置將會是「隨主機一起啟動和停止」。
接下來,也可以針對vCenter Server的主機啟用SSH服務,若過去在部署時沒有啟用它,也可以到vCenter Server Appliance網站上進行啟用。如圖3所示,便是從網站的「存取」頁面中所進一步開啟的「編輯存取設定」頁面,在此可以開啟「啟用SSH登入」設定。設定完畢,按下〔確定〕按鈕。
在確認ESXi主機與vCenter Server主機皆已啟用SSH與Shell服務後,就可以使用任何SSH Client工具進行ESXi主機的遠端連線。以Windows版本的PuTTY工具為例,只要預先設定好所要連線的ESXi主機位址,再按下〔Open〕按鈕即可開始連線。首次的連線可能會出現安全警示,請按下〔是(Y)〕按鈕,往後在此電腦所進行的連線將不會再出現此警示訊息。
成功連線ESXi主機後,輸入root的帳號與密碼即可完成登入。值得注意的是,在此命令介面中所執行的任何命令,都會被儲存在系統記錄的文件中,包括每一次帳號登入的日期與時間,以便未來能夠進行有關資訊安全方面的查核。
還記得前面所介紹到的主機端DCUI主控台,它可是IT人員最常使用的工具之一。然而,其實只要透過SSH Client遠端連線,在登入ESXi主機後,便可以執行「dcui」命令來開啟純文字介面版本的遠端DCUI介面,如圖4所示,其操作方式與主機端的DCUI皆是一樣的。
有了這個DCUI命令工具,在往後維運過程中,除非遭遇網路無法連線,否則對於有DCUI操作需求的IT人員而言,通通只要經由SSH Client的遠端連線後即可使用,這樣就可以不必經常往主機房跑了。當按下〔Ctrl〕+〔C〕鍵,就可以結束純文字模式的DCUI介面,回到ESXCLI命令提示字元。
如何管理資料存放區檔案
在VMware vSphere平台架構中,可以將資料存放區的類型分為ESXi本機(例如SATA、SAS、SSD)、網路(例如iSCSI、Fiber SAN、NFS)、Virtual SAN(vSAN)、Virtual Volumes(VVOLs)。無論是哪一類型的資料存放區,只要在完成連接與建立後,如圖5所示,都可以在選定的叢集或主機節點中,點選至「資料存放區」頁面來管理它們。
不過,不同的儲存區規劃都有其不同的使用需要,例如會將一些需要高效能與高可用性運行的虛擬機器檔案,選擇置放在共用的高速資料存放區內(例如Fiber SAN、vSAN),而將一般僅需要高可用性但無需高效能的虛擬機檔案,置放在像是iSCSI或NFS的儲存區中,因為這類的儲存區通常只需要平價的NAS設備就可以完成整合使用。
此外,資料存放區的使用並非只是用來儲存虛擬機器的相關檔案(例如設定檔、虛擬硬碟、快照備份),而是包括備份檔案、範本檔案以及共用的映像等等。不同的檔案類型與用途,除了必須選擇適當的存放區外,還要經常性地做好基礎管理,像是多餘檔案的清理、分類、搬移以及複製等等,如此才能夠獲得最佳的儲存效率。
進入到資料存放區的檔案瀏覽頁面後,便可以開始新增資料夾,如圖6所示。例如新增一個「ISO」資料夾來集中存放ISO映像,讓叢集中的所有ESXi主機都能隨時透過虛擬機器的ISO映像載入設定,來安裝新的虛擬機器客體作業系統(Guest OS)。
至於不同資料夾或不同資料存放區之間的檔案複製、移動、更名以及刪除,皆同樣只要點選上方相對的超連結即可。如圖7所示,便是進行檔案複製的設定頁面,可以進一步從頁面左下方的選項設定,決定是否要覆寫目的地的相同名稱之檔案或資料夾。至於檔案移動功能的使用,有助於解決當前儲存空間不足的問題,因為可以在此進行跨主機或跨叢集的檔案移動。
如何增加資料存放區容量
當發現某一個頻繁使用的資料存放區空間不足時,無論它所連接的是本機還是遠端儲存區,都是可以進行擴充,只要先完成實體磁碟的增加以及現行RAID的配置修改,最後再完成此資料存放區的擴充設定即可。
假設在此已經完成實體磁碟的添加以及RAID的配置修改,那麼接下來就可以開啟vSphere Client的管理網站,針對已連接至此資料存放區的ESXi主機進行擴充操作。如圖8所示,選擇一個名為「datastore1」的資料存放區並按下滑鼠右鍵,然後點選快速選單中的【增加資料存放區容量】。
接著,在「選取裝置」頁面中可以看見目前所連接的儲存空間配置大小以及所屬的磁碟類型。只要在「可擴充」欄位中顯示為「是」,即表示現行的已使用空間可以繼續擴充。按下〔下一頁〕按鈕,繼續設定。
在「指定組態」頁面中,可以查看到目前已配置的VMFS儲存空間大小,以及可擴充的空白儲存大小,可透過調整「大小增加量」來決定所要擴充空間的大小,設定完成後按下〔下一頁〕按鈕。最後,在「即將完成」頁面中確認上述的設定,若正確無誤便按下〔完成〕按鈕。
如何增加vSAN儲存區容量
在一個營運快速成長的企業發展過程中,各種數位資料的增長也是相當驚人的,這包括各種結構化與非結構化的資料,因此私有雲平台儲存空間的彈性擴充能力,對於IT部門而言便顯得格外重要。
VMware vSphere無論在ESXi主機的資料存放區,還是連接遠端儲存設備的資料存放區,在儲存空間的管理上都是相當彈性與簡單,而對於vSAN的資料存放區擴充也是如此。首先,關於vSAN儲存空間的使用狀況,只要在vSAN叢集節點的「摘要」頁面中,如圖9所示,就可以查看到「vSAN容量」的使用量。
當IT部門因各種應用系統的部署需求,或大量用戶檔案共用的存取需求,而必須擴增現行的vSAN儲存空間時,只要先完成各主機實體磁碟的安裝,便可以開啟vSAN叢集節點的「vSAN」→「磁碟管理」頁面,查看這些新的磁碟是否已經出現在「不合格和未宣告」區域內,確認沒問題後,再逐一針對所選取的ESXi主機點選「建立磁碟群組」,如圖10所示。
如圖11所示,在「建立磁碟群組」頁面中,由於現行的vSAN是採用ALL -FLASH架構,因此可以發現在此所要添加的磁碟也會是準備快閃的磁碟類型而非HDD。在選取一顆作為快取層與一顆當作容量層後,按下〔建立〕按鈕。
成功建立每一台vSAN主機的新磁碟群組後,如圖12所示,可以直接在vSAN叢集的「容量」頁面中查看到現行的磁碟可用空間已經擴增完成。另外,在這個範例中值得注意的是,由於採用的是ALL-FLASH儲存架構,並還特別啟用重複資料刪除與壓縮功能,因此可以進一步查看到這兩項功能為整體儲存空間節省了多少可用空間。
如何移除vSAN故障的磁碟群組
當vSAN叢集主機中有磁碟故障時,可以在vSAN叢集節點的「摘要」頁面中看到相關的警示訊息。接下來,點選至「設定」→「vSAN」→「磁碟管理」頁面中,然後展開故障磁碟所在的磁碟群組,再點選「移除」磁碟即可。
若發現整個磁碟群組中的磁碟皆故障時,則可對於選取的磁碟群組執行「移除磁碟群組」。不過,執行過程中可能會出現如圖13所示的「發生一般系統錯誤」訊息,導致該任務失敗,怎麼辦呢?
其實上述問題的原因,主要是系統已無法移轉故障磁碟群組中的資料,因此在「移除磁碟群組」設定頁面中,如圖14所示就必須改選【不移轉資料】選項,便可以成功移除此磁碟群組。
如何登錄虛擬機器
關於快速刪除虛擬機器的操作,無論是從vSphere Client網站還是PowerCLI命令介面皆可,不過方法卻有兩種,分別是「從詳細目錄中移除」以及「從磁碟刪除」。前者只會從管理介面中移除,後者則會實際從資料存放區中完全刪除所有虛擬機器檔案。無論是哪一種刪除方式,都會讓此虛擬機器停止運作。
可以從vSphere Client網站的虛擬機器所在資料存放區頁面中來查看虛擬機器的相關檔案,其中.vmx是虛擬機器的主要設定檔,一旦僅是執行「從詳細目錄中移除」的操作,便可以隨時回到相對的資料存放區,如圖15所示,選取.vmx的檔案後再點選「登錄虛擬機器」,來恢復虛擬機器的上線功能。
接著,在「登錄虛擬機器」設定頁面中,如圖16所示只要依序完成上線後的虛擬機器名稱輸入、資料夾位置以及選定運算資源,即可恢復上線運作。
最後,便可以查看到剛從資料存放區登錄的虛擬機器。若從「動作」選單中點選「電源」→「開啟電源」,之後可能會出現「此虛擬機器可能已被移動或複製」的提示訊息,點選「回答問題」連結。在此,選取「我已將其複製」並按下〔確定〕按鈕,即可正式啟動虛擬機器的運行。必須注意的是,像上述這一類的提示訊息,通常會發生在以手動方式還原備份虛擬機器檔案的情境中。
如何定期執行虛擬機器快照
一般而言,虛擬機器快照的建立時機,通常是在Guest OS或其中的應用系統需要更新、升級以及配置異動之前,才會去執行的一項重要任務,目的在於確保萬一發生需要還原至原有的系統狀態時能夠迅速完成。儘管不能夠使用快照來取代備份需求,但它卻是任何系統在異動前最快速的備份良方。
然而,軟體研發與測試部門經常需要對於一些開發中的軟體進行測試,這時候便可以善用vSphere Client內建的排程快照工具,讓每一次的定期更新都能夠自動預先完成快照,這樣一來,一旦需要快速還原至某一個版本狀態,便只需要手動還原至相對時間點的快照即可。
在開始設定虛擬機器排程快照之前,先學習一下手動快照的操作方法。只要在選定的虛擬機器節點中,如圖17所示,就可以在「快照」頁面中按下〔拍攝快照〕按鈕,完成最新一次的快照建立。在此,將可以查看到每一個快照的名稱與時間點,並可以隨時針對選定的快照進行還原、編輯以及刪除等操作。
若要透過排程來自動建立快照,必須改到虛擬機器節點的「設定」→「排定的工作」頁面中,點選「新增排定的工作」選單中的【建立快照】。
接著,在「排程選項」頁面中輸入工作名稱和說明,然後設定執行的週期與時間,例如設定每周日下午的十二點零五分執行此虛擬機器的快照,並設定在選定的日期與時間結束,如圖18所示。此外,這裡也可以輸入任務完成後想要使用電子郵件通知的對象,若有多筆Email地址需要輸入,只要在每一筆Email地址之間輸入逗號(,)即可。按下〔下一頁〕按鈕,繼續完成快照名稱、說明以及相關選項設定,然後點選「排程工作」。
再次回到「排定的工作」頁面中,如圖19所示,將可查看到剛剛新增的排程快照工作,可以在此隨時選取這項工作後點選「執行」,或是進行「編輯」以及「移除」等操作。
另外,也可以選擇在Windows作業系統中,透過內建的「工作排程器」工具來新增排程執行預先撰寫好的快照Script,如此同樣也能完成排程自動快照的目的,只要在Script內容中使用New-Snapshot命令,並搭配日期與時間的變數來作為新快照名稱的命名即可。
如何設定電子郵件通知
在vSphere平台有許多的系統通知,除了可以在登入vSphere Client後查看外,也可讓系統管理員透過Email信箱來接收這一些重要通知,只要該通知類型支援Email的通知方式即可。接下來,就來了解一下相關的設定說明。
首先,在vSphere Client中點選至vCenter Server節點,再點選至「設定」→「一般」頁面。如圖20所示,在此展開「郵件」設定,若發現其中的「郵件伺服器」與「郵件寄件者」呈現空白,就代表目前尚無法透過Email來發送系統通知。點選頁面右上方的「編輯」超連結,繼續設定。
最後,只要在「郵件」頁面中,完成「郵件伺服器」與「郵件寄件者」欄位設定即可,必須注意的是,所輸入的「郵件伺服器」主機也已經預先完成允許vCenter Server轉送Email的權限設定,否則可能會導致郵件發送失敗,圖21所示便是成功接收一封來自vSphere快照排定工作的郵件通知範例。
如何使用Remote Console
VMware Remote Console(VMRC)工具主要是用來連線操作遠端主機中的虛擬機器,像是操作客端作業系統、修改虛擬機器中的CPU、RAM以及磁碟的資源配置、連線用戶端裝置(例如DVD-ROM、USB隨身碟)等等,至於開啟的方法可以選擇從如圖22所示的vSphere Client網站來啟動它,或是直接執行VMRC命令參數來啟動。
目前,最新版本的VMware Remote Console 12.0.5相容於Windows 10與Windows Server 2016更高版本,其他非Windows的作業系統支援的則有Linux核心版本3.10以及macOS 12或更高版本。
關於VMRC程式的安裝過程中,除了可以自訂安裝路徑外,如圖23所示,也可以在使用者經驗設定頁面中,決定是否要讓此程式在每一次執行時自動檢查官方網站上有沒有最新版本的程式可以下載。此外,也可決定是否要協助VMware官方自動以匿名回傳系統資料的方式來改善VMRC程式的品質。
完成VMRC程式的安裝後,往後便可以在同樣以此電腦連線vSphere Client網站時,直接從虛擬機器的「摘要」頁面中按下〔啟動Remote Console〕按鈕來開啟。初次連線時,通常會出現憑證安全的警示訊息,勾選其中的「Always trust this host with this certificate」,然後點選〔Connect Anyway〕,後續再次連線時便不會出現此訊息。
如圖24所示,便是成功以VMRC工具遠端連線一部Windows Server客體作業系統的虛擬機器視窗。對於連線中的虛擬機器管理,可以從VMRC的下拉選單中執行電源的各項管理動作、各種卸除式裝置的連線、執行VMware Tools的安裝或更新、編輯虛擬機器設定、以全螢幕開啟等等。
透過vSphere Client網站的〔動Remote Console〕按鈕,除了可以關聯VMware Remote Console工具外,實際上也可以關聯VMware Workstation,換句話說,如果已經在使用VMware Workstation,就可以不必再安裝VMware Remote Console。如圖25所示,便是透過VMware Workstation Pro連線管理vSphere虛擬機器的範例。
請注意!由於VMware Remote Console和VMware Workstation有共用部分的元件,因此無法在同一台Linux作業系統都進行安裝。
最後,為了強化Guest OS遠端連線的使用安全,建議在點選虛擬機器的「編輯設定」後,接著點選至「虛擬機器選項」頁面,並勾選「VMware Remote Console選項」中的「客體作業系統鎖定」設定,如此一來,每當管理員中斷VMware Remote Console的連線時,客體作業系統便會自動進入鎖定狀態。
如何使用VMRC命令連線虛擬機器
使用VMRC工具開啟遠端虛擬機器主控台的方式,除了可以經由vSphere Web Client的虛擬機器「摘要」頁面中來開啟外,管理人員也可以透過它專屬的命令工具來啟動連線。在預設狀態下,其安裝路徑為「C:\Program Files(x86)\VMware\VMware Remote Console」,因此只要在此路徑的命令提示字元下,執行「VMRC -?」命令便可以得知此命令參數的用法。
接下來,開啟Windows PowerShell介面,並且執行以下命令參數,看看是否能夠連線目前正在vSphere平台運行中的Windows Server 2022虛擬機器:
./VMRC vmrc://Administrator@lab02. com@vcsa01.lab02.com/?moid= "Windows Server 2022"
緊接著,將開啟「連線伺服器」視窗,如圖26所示,在輸入密碼後建議一併勾選「記住我的認證」設定,再按下〔連線〕按鈕。
執行之後,居然出現如圖27所示的錯誤訊息,告知沒有在指定的主機中找到此虛擬機器。奇怪了!所指定的虛擬機器名稱明明就是存在的,而且還正在啟動中,為何會說找不到此虛擬機器呢?
原來在VMRC命令中的moid參數值,指的並非是虛擬機器的名稱,而是每一部虛擬機器的一組唯一識別碼。取得目前所有虛擬機器moid的方法,就是透過vSphere PowerCLI Cmdlets。
如圖28所示,執行「Get-VM | ft -Property Name,ID -AutoSize」命令後即可取得。例如範例中的Windows Server 2022虛擬機器的Id就是「VirtualMachine- vm-6001」,但需要輸入的僅是尾部的「vm-6001」即可,換句話說,現在只要改成輸入「./VMRC vmrc://Administrator@lab02.com@vcsa01.lab02.com/?moid=vm-6001」命令參數就可以成功連線。
如何查詢VMRC開啟記錄
在vSphere架構中,對於虛擬機器Guest OS的遠端操作,可以透過vSphere Client網頁模式開啟,或是選擇使用VMRC(VMware Remote Console)的視窗介面來開啟。其中,VMRC除了可以使用獨立下載的安裝程式外,也可直接使用現行已在使用中的VMware Workstation Pro或VMware Workstation Player進行連線。
無論管理人員選用何種VMRC工具來連線管理虛擬機器,若想知道哪些IT人員曾經透過VMRC進行連線管理,只要執行以下的PowerCLI命令參數即可得知:
Get-VM | ForEach-Object {$_ | Get-VIEvent -Start (Get-Date). AddMinutes(-60) -MaxSamples 300 | where Fullformattedmessage -like "A ticket for * of type webmks on * has been acquired"} | select createdtime ,username,@{l="VM";e={$_.vm.name}}
此範例其實是透過查詢vSphere系統中的事件記錄,來找出過去一個小時內曾經被管理人員以VMRC開啟的虛擬機器清單。
如何解決vSphere Client憑證警示問題
自從VMware推出全新改版設計的vSphere Client網站以來,便受到許多IT人士的好評,一直到最新的vSphere 8版本,更是改善許多原有的介面設計與執行效能,就連最新的ESXi Host Client網站介面,也採用這項以HTML5開發技術為基礎的設計,讓IT人員能夠享有更快更友善的管理介面。
只是每一次透過網頁瀏覽器連線vSphere Client時,除了網址列會出現「你與這個網站的連線不安全」警示外,頁面中也會如圖29所示出現「你的連線不是私人連線」警示訊息,要如何讓它不會再繼續出現呢?其實這項警示並非是網站設計的問題,而是它所載入的SSL憑證並沒有得到用戶端連線的信任,接著就來學習如何解決這個問題。
想要徹底解決上述的安全警示問題,必須從伺服器憑證的信任問題來著手。連線到vSphere Client網站的首頁,如圖30所示,在這個頁面中點選「下載受信任根CA憑證」超連結,然後將已打包好的download.zip檔案儲存在自己的電腦中。
接著,將這個ZIP壓縮檔完成解壓縮,再選定「win」資料夾中的.crt檔案,如圖31所示,按下滑鼠右鍵並點選快速選單中的【安裝憑證】。此外必須注意的是,如果目前vCenter Server架構是擁有多台伺服器的部署,便會看到多個.crt檔案,就必須一併完成這些憑證的安裝。在安裝憑證的設定步驟中,記得在「憑證存放區」頁面中,選擇將所有憑證放入「授信任的根憑證授權單位」存放區。
想要確認是否已經成功安裝選定的憑證,只要先開啟MMC主控台,然後加入本機電腦的「憑證」管理單元,就可以在「授信任的根憑證授權單位」→「憑證」節點中找到剛剛安裝的憑證,並可開啟查看其內容。
確認安裝好憑證檔案之後,可以立即開啟Edge、Firefox或Chrome瀏覽器來連線vSphere Client的首頁,如圖32所示,便會發現瀏覽器不再出現憑證的警示頁面,而在網址列中也不會出現憑證的警示圖示。進一步開啟vSphere Client的登入頁面,當然也同樣不會出現相同的問題。
結語
在虛擬化平台的世界裡,對於新手而言最想要的就是一個友善的管理工具,不僅要有直覺化的操作介面設計,也需要針對各類警示與錯誤方面的訊息,能夠有較為完整的說明與解決步驟指引。VMware的vSphere Client不僅提供友善的直覺化操作介面,在一些問題的排除上也結合線上的知識庫(KB)來協助IT人員快速明白問題發生的原因與解決方案。期盼未來這一方面的輔助設計,可以進一步整合AI Chat的應用,讓管理者無論是在vSphere Client還是PowerCLI介面中,都能藉由與AI的口語化互動更精準地找到所需的解決方案。
<本文作者:顧武雄,Microsoft MVP 2004-2016、MCITP與MCTS認證專家、台灣微軟Technet、TechDays、Webcast、MVA特約資深顧問講師、VMware vExpert 2016-217、IBM Unified Communications/Notes/Domino/Connections Certified。>