VMware vSAN可作為運行vSphere虛擬機器的儲存區、當作iSCSI Target提供其他應用系統建立叢集架構時的需要。除此之外,還能成為一個擁有高性能運行的檔案伺服器,提供廣泛NFS與SMB用戶端的連線存取,本文將針對此一部分進行實戰說明。
採用傳統檔案伺服器與儲存設備的架構方式,來作為企業IT資料中心的規劃方式早已過時,它無法滿足龐大數量的資料存取需要,更無法提升人員的生產力與協同合作的效率,全都只因為它儲存容量不夠大、擴充不易、速度不夠快、容錯保護不夠強、管理太複雜。
企業IT對於資料中心的儲存規劃,應該改選超融合基礎架構(Hyper-Converged Infrastructure,HCI),尤其是在以虛擬化運算的IT環境中更是首選,因為它採用了軟體定義儲存的技術,讓運算、儲存、網路三者結合成單一系統,來運行任何需要的應用系統、檔案服務、虛擬機器、容器。
VMware vSphere的虛擬化平台廣受全球企業IT歡迎,它所推出的vSAN超融合基礎架構更持續衛冕HCI市佔率寶座。vSAN的運行基礎是vSphere叢集,因此對於VMware vSphere 7.x的用戶來說只要先取得vSAN授權,並滿足儲存設備與網路連線的基本需求,便可以開始動手部署vSAN。
然而,在大型的企業IT環境中,不僅在伺服端虛擬機器與容器的需求較大,相對地在用戶端連線數量也遠比中小型企業大上許多。為此僅建立一組vSAN叢集肯定不敷使用,可是若建立多組的vSAN叢集,雖然解決了儲存容量的使用需求,但在實質效益上似乎又無法凸顯出vSAN叢集的應用價值,畢竟想要建立一組vSAN叢集需要投入的IT成本是相當可觀的。
還好打從vSAN 7.0 Update 1版本更新後,由於推出HCI Mesh架構功能,使得多組vSAN叢集能夠做到彼此間儲存資源的相互共享。不僅解決了資源共享的需求,更重要的是還能夠讓其上運行的虛擬機器和容器,可以在多個vSAN叢集中無礙移轉。
部署vSAN的HCI Mesh架構後,若想讓它的應用價值發揮得淋漓盡致,建議不妨啟用iSCSI Target功能,讓其他應用系統或資料庫服務,可以透過vSAN的儲存區來建立叢集所需的共用儲存區。接著,若vSAN的儲存區空間相當充沛,還可進一步啟用NFS與SMB的檔案服務功能,來提供各部門的重要文件存放需要。
之前在vSAN 7.0的初版發行中已實戰介紹過關於NFS的檔案服務共用,在接下來的實戰內容中,就來實戰學習關於SMB的檔案服務共用功能,以提供廣泛企業Windows用戶端的直接存取需求。
準備vSAN網路與磁碟
在實務上,vSAN的部署除了需要有三台ESXi主機以及叢集的環境之外,在網路連接的規劃上,理論上在混合(Hybrid)儲存架構下的使用,可以只選擇1GB的網路,但強烈建議無論是採用混合還是全閃存(All-Flash)的儲存架構,最好都有一個專屬的10GbE網路,以因應容錯備援時的運行速度需要。進一步若考量到單一網卡的故障問題,可透過NIC Teaming功能來設定好備援的網卡。
接下來,就在叢集的每一台主機中建立一個vSAN檔案服務共用的網路。首先,在現行的標準vSwitch頁面中點選「新增網路」。如圖1所示,接著在「選取連線類型」頁面中選取「標準交換器的虛擬機器連接埠群組」,並按下〔NEXT〕按鈕。
來到「選取目標裝置」頁面後,如圖2所示,選擇了一個現行的vSwitch2標準交換器,當然也可以根據實際需要來選取「新增標準交換器」。決定好了之後,按下〔NEXT〕按鈕。
如圖3所示,在「連線設定」頁面中輸入一個「網路標籤」,以便後續在配置vSAN檔案服務時可以識別與選取。至於VLAN識別碼,根據實際管理需要來定義即可。按下〔NEXT〕按鈕,繼續設定。
最後是「即將完成」頁面,確認上述無誤後按下〔FINISH〕按鈕。回到「標準交換器:vSwitch2」頁面中,便可以看到剛剛建立的vShare網路,如圖4所示。繼續完成其他vSAN主機的相同網路建立,後續將使用此網路來作為檔案服務的連線存取使用。
完成專用的網路的準備後,接下來必須確認已在每一台ESXi主機準備了至少一個快取磁碟及一個容量磁碟,做為vSAN架構的專用磁碟,前者可以用來規劃快取層(Cache Tier),後者則可以用來規劃容量層(Capacity Tier)。如圖5所示,這裡分別準備了一顆60GB的HDD與一顆60GB的Flash,三台主機剛好有三顆HDD與三顆Flash來做為vSAN的儲存磁碟。
啟用叢集vSAN功能
完成叢集中各主機網路與磁碟的準備後,在叢集頁面的「動作」選單中依序點選【vSAN】→【設定】。
如圖6所示,在「組態類型」頁面中有五個選項:
‧單一台叢集:當所有主機位於同一個站台並且要共用見證功能時可以選擇此類型,而每台主機也會被視為存放於自己的容錯網域中。本範例的操作將選擇此類型。
‧具有自訂容錯網域的單一台叢集:針對自定義且不含見證主機的單一台叢集配置。這個選項在vSAN 7.0第一版尚未提供。
‧雙節點vSAN叢集:讓兩部提供儲存功能的主機位於相同站台之中,而讓僅擔任見證功能的主機在另一個站台中運行,它將只會負責存放見證用的中繼資料。
‧延伸叢集:提供兩個作用中的資料站台,其中每個站台都有偶數台主機和儲存裝置,並且將見證主機位於第三個站台中。
‧vSAN HCI網格運算叢集:此選項就是前面介紹中所提到的vSAN HCI Mesh架構,透過此選項的配置,讓位於相同資料中心的vSAN叢集之間能夠互相掛接其他vSAN叢集的儲存區來使用。此選項在vSAN 7.0第一版尚未提供。
在「服務」頁面中,可以決定是否要在vSAN的儲存區的「空間效率」設定中,啟用「僅壓縮」或「重複資料刪除和壓縮」功能,必須注意的是,後者功能必須在全快閃磁碟群組(All Flash)配置下才能夠正常使用,因為目前尚未支援混合磁碟群組配置的架構下使用。
接著,對於「靜態資料加密」功能的使用,則必須預先設定好KMS叢集的連線才能啟用,然後在此頁面中選定並決定使用前是否要抹除剩餘資料。至於「允許減少的冗餘」選項,用途在於當有變更重複資料刪除和壓縮或是加密狀態時,vSAN將可以視需要降低虛擬機器的保護層級。而「資料傳輸加密」選項部分,一經啟用後,vSAN將會使用AES-256位元加密主機之間的所有資料和中繼資料流量,包括了後續檔案服務主機之間連線的加密,以確保整個運行過程中所有資料的傳輸安全。
關於「大型叢集支援」功能,主要是因為在預設的狀態下vSAN叢集只能夠擴充至32個節點,若需要擴充至64個節點,便需要啟用此選項。不過必須注意的是,如果此選項在設定叢集之前變更將會立即生效,反之,則需要在所有節點主機重新開機後功能啟用才會真正生效。
最後,還可以決定是否要啟用「RMDA支援」功能。不過,啟用此功能的前提條件是所有裝置都需要在每個vSAN上行和RoCEv2通訊協定的支援配置上,皆有配對的vmrdma裝置才行。一旦成功啟用此項功能,將可以有效提升vSAN的I/O讀寫效率,以及降低使用CPU的運算資源。設定完畢,再按下〔下一步〕按鈕。
在「宣告磁碟」頁面中,可為每一個磁碟選擇宣告為快取層或是容量層,即便在每一台主機上所安裝的磁碟機類型皆是快閃,也同樣必須至少配置一個快取層與一個容量層,且最終宣告的快取層磁碟數量不能更大於容量層磁碟。
若是暫時不加入vSAN儲存區中,則選取「不宣告」。在此可以發現每一台主機皆配置了一顆快閃(快取層)與一顆HDD(容量層),且每一顆磁碟的容量都是60GB,因此總儲存容量與總快取容量皆是180GB。按下〔下一步〕按鈕,繼續後面的設定。
最後,在「檢閱」頁面中,確認上述步驟中的每一項設定是否正確,包括組態類型、空間效率、靜態資料加密、允許減少的冗餘、資料傳輸加密、大型叢集支援以及RDMA支援等等,如圖7所示,確認無誤後按下〔完成〕按鈕。
完成vSAN的啟用設定後,點選至叢集的「設定」→「vSAN」→「磁碟管理」頁面中,查看剛剛所建立的磁碟群組配置。往後主機若有新的磁碟添加進來,即可在此點選「宣告未使用的磁碟」,以加入至vSAN叢集中使用。也可以依需求,在此點選「建立磁碟群組」或「執行預先檢查」。
在「vSAN」→「容錯網域」頁面中,對於大型的組織而言,可以根據實際需求,建立多個容錯網域(Fault Domain),不僅可以預防單一主機的故障問題,就連單一機櫃整個損毀,都能夠提供即時的進行熱備援,如圖8所示。目前在單一站台的組態類型中,容許的容錯網域故障數目是1,已足夠中小型vSAN環境運行的需要。
在「服務」頁面中,則可以查看到所有與vSAN服務相關的功能之啟用狀態,這包括Support Insight、重複資料刪除和壓縮、加密、效能服務、vSAN iSCI目標服務、檔案服務以及進階選項,如圖9所示。必須注意的是,如果採用的是雙節點的vSAN架構,那麼接下來要介紹的「檔案服務」功能是無法啟用的。
啟用vSAN原生檔案服務
想要在vSAN叢集中啟用檔案服務功能,以便讓NFS或SMB的用戶端可以連線存取旗下的共用資料夾,除了在vSAN叢集中至少要有三台主機之外,還必須為每一台主機的檔案服務,配置專屬的靜態IP位址、子網路遮罩以及閘道,並且每一個IP位址都要有對應的DNS名稱,以及設定好反向DNS查閱,如此才能成功完成檔案服務的啟用。
首先,在vSAN叢集的「設定」→「vSAN」→「服務」頁面中,展開「檔案服務」並點選「啟用」。接著在「檔案服務代理程式」頁面中,自行選擇自動方法或手動方法來部署vSAN File Services Appliance,建議採用前者方式並勾選「信任憑證」來完成快速部署。
如果曾經停用過vSAN檔案服務,當再次對於相同vSAN叢集主機啟用檔案服務時,便無須再次設定檔案服務代理程式,因為它會直接顯示目前已安裝的檔案服務代理程式版本資訊。按下〔下一步〕按鈕,繼續設定。
如圖10所示,在「網域」頁面中,先為新的檔案服務網域命名,再設定DNS伺服器的IP位址和DNS尾碼,必須注意的是,在所選定的DNS伺服器中,已經完成了前面所提到的各主機名稱正向與反向的解析設定。
在整合Active Directory的配置部分,先勾選位於「目錄服務」的「Active Directory」選項,再依序輸入AD網域名稱、組織單位(選用)、AD使用者名稱、密碼。須注意的是,若要使用Kerberos驗證的SMB共用或NFS共用,皆須設定Active Directory配置,如果沒有此配置,則檔案服務的網域便僅能使用NFS共用來搭配AUTH_SYS。另外,一旦完成此檔案服務的設定,有關AD網域的所有配置便無法再修改。設定完成後,按下〔下一步〕按鈕。
切換至「網路功能」頁面後,先挑選前面已建立的vSAN檔案服務專用網路(例如vShare)再選擇通訊協定,並輸入子網路遮罩、閘道IP位址,然後按下〔下一步〕按鈕。
如圖11所示,在「IP集區」頁面中,先輸入第一台要做為檔案服務的vSAN主機IP位址,接著點選「查詢DNS名稱」超連結,便可自動完成名稱的輸入。最後,即可透過點選「自動填充」連結來迅速完成其他兩台主機資訊的輸入,然後按下〔下一步〕按鈕。
來到「檢閱」頁面後,確認上述每個步驟的配置,包括網域以及網路功能的各項設定,確認無誤後按下〔完成〕按鈕。
在檔案服務正在進行設定的過程中,如圖12所示可以從「最近的工作」區域中查看到系統除了須要進行相關必要的OVF範本部署外,同時也要針對vSAN叢集下的每一台ESXi主機安裝代理程式。
成功啟用檔案服務並回到「vSAN」→「服務」頁面後,如圖13所示便可以從「檔案服務」展開,然後完整檢視該服務的網域、DNS伺服器、DNS尾碼、AD網域、組織單位、AD使用者名稱、共用數目、網路、子網路遮罩、閘道、IP位址以及版本資訊。
若想要完整查看這三台主機的IP位址以及對應的DNS名稱,只要點選「查看全部」超連結即可。
回到vSAN叢集的「摘要」頁面中,如圖14所示,可以查看到過去2小時內有關vSAN的IOPS、輸送量以及延遲的統計圖表,方便管理人員隨時掌握vSAN基本的效能表現。
建立SMB檔案共用
在成功啟用vSAN檔案服務後,就可以開始新增檔案共用,讓授權的用戶端或伺服器可以連線存取。首先,在vSAN叢集的「設定」→「vSAN」→「檔案服務共用」頁面中點選「新增」超連結,來開啟「一般」頁面。
如圖15所示,在此可以先選擇通訊協定要採用NFS還是SMB,由於過去文章已示範過NFS的配置方法,因此這回改選SMB以及決定是否要使用通訊協定加密功能。緊接著,輸入共用名稱並選擇適合的儲存區原則,然後自訂警告臨界值的配額大小以及固定配額的大小,以控管有限的共用儲存空間。
進一步還可以設定標籤,做為當有大量檔案共用時的快速識別與篩選,可將標籤連結至每一個檔案共用設定,目前vSAN檔案服務最多可為每個共用新增設定5個標籤。然後,按下〔下一步〕按鈕。
最後,在「檢閱」頁面中再次確認上述步驟中的通訊協定、儲存區原則、共用警告臨界值、共用固定配額的設定是否正確,確認無誤後按下〔完成〕按鈕。回到「檔案共用」頁面,如圖16所示可以檢視到目前已建立的所有檔案共用設定,並且能夠隨時進行新增、編輯、刪除等操作。請注意!這裡無法透過「編輯」來變更SMB和NFS之間的檔案共用通訊協定設定。
對於已建立好的檔案共用,用戶端要如何進行連線存取呢?很簡單,管理員只要在「檔案共用」頁面中點選「複製路徑」,然後將該共用路徑張貼至Email或任何傳訊軟體(例如Skype)給用戶即可。用戶在收到共用路徑超連結後,只要點選開啟,如圖17所示,便可以從Windows檔案總管介面中開始進行檔案的存取、資料夾的建立、修改、刪除等操作。
截至目前為止,在vSphere Client網站中,管理人員無法直接查看用戶端對於SMB共用的存取資訊,這包括了哪一些網域使用者正在連線當中、哪些共用的檔案正在被開啟當中。在這個情況下,就必須藉由Windows的共用資料夾管理員介面來連線查看。
執行的方法很簡單,只要先確認目前所登入vSAN檔案服務的使用者也已經連線Active Directory網域,便可以開啟命令視窗然後執行「fsmgmt.msc /computer:\\vshare-srv01.yutian.local」,其中所連線的檔案服務位址(FQDN),必須是在設定檔案服務步驟中所建立的IP集區位址。想要快速獲得此執行命令與參數,只要在前面介紹中的「檔案共用」頁面內點選「複製MMC命令」即可。
圖18所示便是Windows的共用資料夾管理員介面,在此可以先從「共用」頁面中查看到目前所有的共用設定名稱,並且能夠針對現行的共用名稱修改其屬性或刪除,當然也可以繼續新增更多的共用設定。
在「工作階段」頁面中,可以檢視目前正在連線中的所有用戶工作階段(Session)。若需要中斷某一個用戶的連線,只要在選取該用戶後按下滑鼠右鍵,然後點選快速選單中的【關閉工作階段】即可。
在「開啟檔案」頁面中,則可檢視到目前正被用戶開啟中的檔案,同樣地也可以強制關閉開啟中的檔案,只要在選取該檔案後按下滑鼠右鍵,然後點選快速選單中的【關閉開啟的檔案】即可。
關於vSAN檔案服務的各項管理,除了透過vSphere Client來完成外,也可以善用表1的PowerCLI命令來完成,至於要如何得知選定命令的用法?以查詢New-VsanFileShare命令用法為例,只要執行「Get-Help New-VsanFileShare -Detailed」,即可完整得知各參數的說明與範例。
檢查檔案服務健全狀況
針對vSAN運行的整體健康狀態,管理人員除了能夠從各節點主機的「摘要」頁面中發現系統所主動提示的警示訊息之外,也可以定期主動到vSAN叢集的「監控」→「vSAN」→「Skyline健全狀況」頁面中來完整檢視檔案服務整體的健康報告。
首先,在「檔案服務」→「基礎結構健全狀況」頁面中,可以分別檢視到各主機在vSAN檔案服務節點、VDFS精靈、根檔案系統以及工作負載平衡的健康狀況。接著,在「檔案伺服器執行階段」頁面中,可以檢視到每一個共用網域主機在NFS精靈、SMB精靈、SMB連線、根檔案系統可存取性的健康狀況,如圖19所示。
在「共用健全狀況」頁面中,可以檢視目前所有共用設定的健康狀況,若有任一項共用設定的健全狀況出現錯誤,就代表用戶端也將無法對於此共用路徑進行連線存取,此時便需要回到共用設定的配置頁面中,查看相對的共用設定是否有問題。
針對檔案共用運行的效能表現部分,可以到「vSAN」→「效能」→「檔案共用」頁面中檢視。如圖20所示,這裡除了能夠設定檔案共用效能的時間範圍外,還可以自由核取「SMB通訊協定層效能」與「檔案系統效能」效能選項,而所能夠檢視的效能度量圖分別有IOPS、輸送量以及延遲時間。
上述的操作講解只是針對vSAN檔案服務與共用的健康診斷,若想要對vSAN整體健康進行更細部的檢測,可點選至「監控」→「vSAN」節點下的虛擬物件、實體磁碟、重新同步物件、主動測試、容量、效能、效能診斷、支援以及資料移轉預先檢查等頁面。
解決代理程式網路無法建立問題
如果在啟用vSAN檔案服務後,在叢集的節點上出現如圖21所示的紅色驚嘆號標記,即表示檔案服務功能已啟用失敗,可能原因雖然有資源不足、儲存空間及網路連線問題等等,但根據過往的經驗判斷,如果ESXi主機採用標準vSwitch的配置,通常是因為連接埠群組的網路配置不正確,才導致vSAN檔案服務的啟用失敗。
此時開啟至各主機的「監控」→「工作和事件」→「事件」頁面中查看,便可能找到如圖22所示的錯誤事件資訊。在此可以發現此事件顯示了「代理程式網路vShare在主機192.168.7.252上無法使用」提示,表示在vSAN叢集下的這台192.168.7.252主機並沒有正確設定一個名為vShare的連接埠群組所致。
根據上述的問題,只要回頭正確調整好該主機的連接埠群組配置,便可立即解決此問題。以此問題例子而言,當系統偵測到此主機的vShare網路已正確建立好之後,將會自動繼續完成檔案服務代理程式的安裝與複製虛擬機器的任務。一旦這兩項任務都完成後,vSAN的檔案服務便會開始正常運行。
停用vSAN檔案服務
有時候,可能會因為檔案服務設定的配置不當,導致啟用過程中發生失敗。如圖23所示,在「vSAN」→「服務」頁面中,可以看到目前檔案服務組態未完成,因為檔案服務網域未成功建立,理論上可以選擇點選「編輯」超連結,再次建立檔案服務網域的配置。
不過,建議直接點選頁面中的「停用」超連結,以開啟「停用檔案服務」,如圖24所示,按下〔停用〕按鈕之後將會清除檔案服務網域的配置,並不會移除vSAN資料存放區的檔案共用,但會中斷所有相關的通訊協定服務,包括所有的檔案共用設定。確認已執行停用後,再次嘗試重新啟用檔案服務即可。
解決vSAN評估授權到期問題
相信很多企業IT部門無論是否已經正在使用VMware vSphere,對於功能強大的超融合vSAN架構,即便相當吸引IT部門的使用,由於軟體授權費用加上硬體的採購成本並不低,因此在正式環境部署vSAN之前,通常會先建立一個測試環境進行vSAN的功能評估。
當然,也可以選擇將vSAN測試環境直接部署在正式的vSphere架構中,若發現運行效能與功能皆符合預期,就可以將已經部署好的vSAN轉換為正式版本使用,而不需要再大費周章地重新部署。如圖25所示,當vSAN的評估版過期時,在vSphere Client網站頁面的最上方將會出現「詳細目錄中有已到期或即將到期的授權」訊息,而vSAN叢集的「摘要」頁面中也會有「vSAN授權已到期」提示訊息。
在上一個步驟頁面中,點選「管理您的授權」。來到「系統管理」→「授權」頁面中,如圖26所示,就會發現在「資產」→「VSAN叢集」子頁面中顯示了評估模式的產品授權已到期。可點選「指派授權」超連結,來指派一個已建立的vSAN授權。
若尚未建立過vSAN的正式授權設定,可以到「授權」管理頁面中進行管理。在此可以檢視到目前所有產品的授權清單,而每一個授權都會顯示相對應的授權金鑰、產品名稱與版本類型、使用率、容量、狀態以及到期資訊等等。當點選「新增」超連結,便會開啟「新增授權」設定頁面,如圖27所示,在此新增一筆授權金鑰以及設定授權名稱。
完成新增授權的設定後,如圖28所示,便可以隨時到「叢集」→「授權」→「vSAN叢集」頁面中按下〔指派授權〕按鈕。
最後,在「指派授權」頁面中,如圖29所示,便可從「現有授權」清單中挑選要指派的vSAN授權。一旦完成指派授權並回到「vSAN叢集授權」頁面後,將會發現授權到期的訊息已變成「永不」。至於授權的功能清單,則會根據實際的授權版本類型而有所不同。
結語
VMware vSAN 7.0 Update 1之後的更新版本,不僅達到了全方位內外通吃的儲存服務,對於IT人員來說,在平日的維運管理需求上,同樣也提供了面面俱到的工具,這包括了vSphere Client、PowerCLI、ESXCLI以及連行動間都能夠持續進行監管的vSAN Live App,可以在iOS或Android的行動裝置中免費下載及使用。接下來仔細想想還有什麼樣的功能,值得添加在vSAN的應用中呢?筆者在此分享兩個觀點。第一是可提供更具完善的共用資料夾管理頁面,而不須要仰賴Windows的共用資料夾管理工具,並支援帳號與群組的配額設定功能。第二則是讓vSAN的儲存區加入雲端硬碟功能,使得所有被授權的用戶能夠直接透過行動App進行存取。
<本文作者:顧武雄,Microsoft MVP 2004-2016、MCITP與MCTS認證專家、台灣微軟Technet、TechDays、Webcast、MVA特約資深顧問講師、VMware vExpert 2016-217、IBM Unified Communications/Notes/Domino/Connections Certified。>