VMware虚拟化环境的规划及系统设计

VMware虚拟化环境的规划及系统设计,议程,总览与设计概述存储设计网络设计主机设计虚拟机设计,典型的vSphere部署架构,资源池与vApps,总体设计原则,通过分布式交换机实现网络的大二层接入以及二层策略一致性（可选）通过VLAN隔离各个业务系统，防止广播风暴通过vShieldEdge实现DMZ区，简化网络接入的难度通过vShieldApps，实现各个业务平台的隔离，并和业务资源池保持一致通过vShieldApps，实现三个安全域的有效隔离,议程,总览与设计概述存储设计网络设计主机设计虚拟机设计,存储选择,原则上没有严格要求，vmware建议购买支持VAAI技术的存储，VAAI技术是和vmware的VMFS配合，对存储的要求主要是firmware版本的提升，不会有额外的成本，可以在在查询选项里面的featurecategory选择：VAAI-BLOCK进行搜索即可本次项目建议使用datastoreDRS，每个DataStore按照5-8个虚拟机进行分配,存储层实施示例,VMwarevSphere：设计研修班修订版A,如何在特定基础架构中实施存储层的示例,VMFS数据存储容量(1),VMwarevSphere：设计研修班修订版A,设计决策：如何确定VMFS数据存储的容量和数量？单个VMFS数据存储的容量取决于将访问该数据存储的每个虚拟机所需的空间，乘以能在可接受的延迟水平下访问该数据存储的虚拟机数量。要确定特定阵列配置的延迟，您需要确定预计的IOPS和MBps（将在稍后讨论）。性能还会受到路径组件的影响（请参阅本单元的其余部分）。性能高低极大依赖于阵列供应商，因为所有磁盘I/O均由供应商掌控。请咨询供应商或参考供应商文档。,VMFS数据存储容量(2),VMwarevSphere：设计研修班修订版A,考虑添加20%至30%的额外容量以容纳快照、交换文件和日志文件。VMFS元数据大小对LUN来说无关紧要。VMFS数据存储容量还将取决于数据的恢复时间目标(RTO)。您必须能够在RTO限制内恢复数据。,主机上的命令队列,VMwarevSphere：设计研修班修订版A,SCSI设备驱动程序有一个称为LUN队列深度的可配置参数。LUN队列深度确定了有多少个发送到给定LUN的命令可以同时保持活动状态。VMwarevSphere5.0的默认值为32。同一主机上对同一LUN生成I/O的一个或多个虚拟机必须共享LUN队列。如果ESX/ESXi主机向LUN发出的命令多于LUN队列深度，则超出的命令将在VMkernel中排队，这会进一步增加存储延迟。,冗余存储路径,VMwarevSphere：设计研修班修订版A,设计决策：该设计将如何提供存储可用性？始终配置存储多路径功能。对于可用性，VMware建议至少配置两条到LUN的路径，不过四条路径更佳，因为此配置可适应更多故障类型：HBA0到存储处理器SPA0、HBA0到存储处理器SPB1、HBA1到存储处理器SPA1、HBA1到存储处理器SPB0使用两个HBA或网卡、两个交换机和两个阵列存储处理器来配置路径。如果一个HBA、交换机或存储处理器发生故障，数据仍然可用。多条路径既可以提供高可用性，也可以实现负载平衡以提高性能。,多路径配置,VMwarevSphere：设计研修班修订版A,VMware建议使用两个单端口存储HBA而不是使用一个双端口存储HBA。验证多路径策略与阵列类型匹配：对主动-被动阵列使用MRU（避免路径负载颠簸）。对主动-主动阵列使用固定路径或循环路径选项。对异步逻辑单元访问(ALUA)阵列使用MRU或循环路径选项。对虚拟端口存储阵列使用MRU。始终参考阵列文档以了解具体的多路径策略支持。可能存在第三方多路径功能插件。对这些插件使用供应商的建议。在vSphere5.0中使用第三方多路径插件需要Enterprise的许可证。,每个LUN的VMFS卷数,VMwarevSphere：设计研修班修订版A,设计决策：每个LUN应该创建多少个VMFS卷？请为每个LUN创建具有一个VMFS卷的一个分区。主机在更新分区上的VMFS元数据时，需要LUN上具有SCSI预留。如果有SCSI预留，将不允许其他主机访问该LUN。多个分区上的元数据更新会增加延迟并降低性能。,VMFS元数据,VMFS元数据,VMFS元数据,VMFS元数据,SCSI预留量可能增加3倍,或,好,不好,VMDK或裸设备映射(RDM)？,设计决策：何时应该使用RDM磁盘而不是VMDK磁盘？对于大多数应用程序，除非存在对RDM的特定需求，否则应使用VMDK磁盘。VMDK磁盘更具可移动性。VMDK磁盘更便于调整大小。VMDK磁盘的管理复杂性更低。对于随机工作负载，VMDK磁盘和RDM磁盘具有相似的性能特征。有关性能的比较情况，请参阅“PerformanceCharacterizationofVMFSandRDMUsingaSAN”（使用SAN的VMFS和RDM性能特征），网址是：,RDM注意事项(1),以下情况下需要使用RDM：用于在Microsoft集群配置中跨主机配置虚拟机：虚拟到虚拟或物理到虚拟用于配置虚拟机以使用N_PortIDVirtualization(NPIV)用于在虚拟机内运行SAN管理软件：存储资源管理软件、存储阵列快照软件、复制软件等并非所有阵列都支持VMFS分区快照用于任何在虚拟机中运行并需要使用特定于硬件的SCSI命令来访问设备的应用程序,RDM注意事项(2),RDM有时对于避免在物理到虚拟转换操作期间将大型数据LUN迁移到VMDK非常有用。除非需要物理兼容性模式，否则应配置虚拟兼容性模式的RDM。虚拟兼容性模式保留了执行虚拟机快照的能力。例如，MicrosoftServer2008故障切换集群需要SCSI-3持久性组保留(PGR)，而这只能通过物理兼容性模式的RDM来提供。,厚虚拟磁盘或精简虚拟磁盘(1),VMwarevSphere：设计研修班修订版A,设计决策：设计应指定厚部署还是精简部署的虚拟磁盘？对于NFS数据存储，精简部署是自动执行的，并由NFS服务器而不是由vSphereClient管理。只要通过正确管理避免了磁盘空间不足，完全可以将基于阵列和基于VMkernel的精简部署结合起来使用。它增加了管理和监控开销。厚部署的优点和缺点：存储配置和监控更简单支持VMware容错虚拟机。空间利用效率较低存储成本较高,厚VMDK磁盘或精简VMDK磁盘(2),精简部署的优点和缺点：精简部署降低了存储成本。精简部署避免了预先占用全部容量，同时仍可为应用程序用户提供满足他们将来增长所需的容量。精简部署磁盘上的碎片对磁盘性能的影响可忽略。精简部署可能不适合虚拟机磁盘容量会快速增长的环境。快速达到其最大容量的虚拟机磁盘会减小精简部署的优势。精简部署增加了数据存储空间不足的风险。但是可以使用警报和存储报告来缓解此风险。您必须监控过量使用情况和磁盘利用率并为它们创建警报。,ISO和模板,设计决策：设计应该如何指定ISO映像和模板支持？分配专用存储空间。相同数据存储上的虚拟机性能不会受到长时间ISO映像或模板操作的影响。采用精简格式存储模板以节约空间。在较廉价、性能较低的存储上分配该空间。性能仍然会优于物理CD-ROM或DVD驱动器。不需要为快照提供额外20%至30%的数据存储开销。模板不运行，因此没有快照。模板和ISO存储的大小仅取决于库中的模板和ISO映像的大小和数量。对存储进行分区或掩蔽以便仅有必要的主机才能访问该存储。这可以是一个管理或部署集群。,N_PortIDVirtualization(1),设计决策：何时应该配置NPIV？NPIV会向各个虚拟机分配一个全球通用名称(WWN)和虚拟N_PortID。NPIV在SAN上为每个虚拟机提供一个标识。NPIV的优势：跟踪每个虚拟机的存储流量。按虚拟机对LUN进行分区和掩蔽。按虚拟机利用SAN服务质量。可通过按虚拟机的阵列级别进行缓存提高I/O性能。在以下情况下应配置NPIV：如果有在虚拟机级监控SANLUN使用情况的管理要求。安全要求规定要能够将特定LUN分配到特定虚拟机分区。,N_PortIDVirtualization(2),VMwarevSphere：设计研修班修订版A,设计决策：应该如何配置基础架构以支持NPIV？NPIV要求：虚拟机使用RDM光纤通道HBA支持NPIV光纤通道交换机支持NPIVESX/ESXi主机能够访问其虚拟机使用的所有LUNNPIV不能用于配置了VMwareFaultTolerance的虚拟机。,StorageDRS,Designdecision:ShouldStorageDRSbeusedintheenterprise?AlwaysuseStorageDRSwhenpossible.StorageDRSprovidesawayofbalancingusageandIOPSamongdatastoresinastoragecluster:Initialplacementofvirtualmachinesisbasedonstoragecapacity.StoragevMotionisusedtomigratevirtualmachinesbasedonstoragecapacity.StoragevMotionisusedtomigratevirtualmachinesbasedonI/Olatency.StorageDRScanbeconfiguredineithermanualorfullyautomatedmodes.,StorageDRS,Designdecision:HowshouldStorageDRSbeconfigured?Thedefaultsettingistobalanceusagewhenadatastorebecomeseightypercentfull.Considerleavingmoreavailablespaceifsnapshotsareusedoftenormultiplesnapshotsarefrequentlyused.ConsiderturningonbalancingbasedonIOPS.Thefeaturebalancesdatastoresbasedonsustainedusageovertime.TurnoffbalancingbasedonIOPSduringmaintenancecycle.Example:Whenbackupsarebeingdoneonvirtualmachinesonthedatastore.Useaffinityandanti-affinityrulesasneeded:Example:Toimprovetheperformanceofanapplicationbykeepingtheapplicationdiskonadatastoreseparatefromtheoperatingsystemdisk.,存储命名惯例,VMwarevSphere：设计研修班修订版A,设计决策：应该如何对数据存储命名？存储单元的命名应该一致，以确保使用它们的任何人都能够对其用途和位置一目了然。示例：_vmfs_示例：la_prod_vmfs_cx400_01burbank_prod_vmfs_cx400_01,议程,总览与设计概述存储设计网络设计主机设计虚拟机设计,网络数量,VMwarevSphere：设计研修班修订版A,设计决策：设计中需要多少个网络？需要多少个网络或VLAN取决于以下用途所需的流量类型：VMwarevSphere运行支持组织的服务和应用程序应该位于单独网络上的vSphere组件，包括：,管理,VMwarevMotion,IP存储(iSCSI/NFS),VMwareFaultTolerance(FT),虚拟机,VMwareESX/ESXi主机,网络分段方式：物理隔离、vLAN逻辑隔离,实施VLAN,VMwarevSphere：设计研修班修订版A,设计决策：如何实施VLAN？在实施VLAN时，应考虑：物理交换机必须支持802.1QVLAN标记。必须手动配置物理交换机中继端口。虚拟交换机是被动设备，因此不参与动态中继协议(DTP)或链路聚合控制协议(LACP)等协议。在物理交换机端口上配置PortFast模式,虚拟交换机的数量,VMwarevSphere：设计研修班修订版A,设计决策：应使用多少个虚拟交换机？应尽量少地创建虚拟交换机，最好只创建一个。配置一个虚拟交换机，并针对每种类型的网络流量配置一个端口组。它可以简化配置和监控过程。一个包含多个VLAN的虚拟交换机将在包含有限数量物理网络端口的环境中工作。至少应尝试将为VMwareHA和VMwareDistributedResourceScheduler(DRS)启用的集群中的所有主机连接到一个虚拟交换机：降低迁移后虚拟机无法重新连接的可能性如果组织的策略规定虚拟机到虚拟机的流量必须通过物理防火墙，该基础架构将需要多个虚拟交换机。除此之外，设计也可以包括一个虚拟交换机，并使用VMwarevShieldZones检查和隔离流量。,网卡绑定(1),VMwarevSphere：设计研修班修订版A,设计决策：是否应配置网卡绑定？这可增加可用于网络路径的带宽。它可帮助避免任何单点故障。服务器整合会将各种故障影响混合在一起，从而增加了对冗余的需要。通过使用来自多个网卡和主板接口的端口配置网卡绑定，可进一步减少单点故障的数量。网卡绑定需要：将两个或更多网卡分配给同一个虚拟交换机同一端口组中的所有网卡处于同一个第2层广播域中,网卡绑定(2),VMwarevSphere：设计研修班修订版A,创建一个包含跨不同物理交换机绑定网卡的虚拟交换机：除非组织的策略要求在网络之间进行物理分离：例如，管理网络和生产网络,端口组,虚拟交换机,端口组,虚拟交换机,好,更好,广播域,支持：源端口ID源MAC地址IP哈希,支持：源端口ID源MAC地址IP哈希（仅包含堆叠式交换机）,虚拟交换机安全性设计(1),VMwarevSphere：设计研修班修订版A,设计决策：如何配置适用于虚拟交换机的安全性设置？除非存在需要默认设置的应用程序，否则应将交换机的默认设置“Forgedtransmits”（伪造传送）和“MACaddresschanges”（MAC地址更改）改为“Reject”（拒绝）。这可防止受侵害的虚拟机使用MAC地址欺骗来假冒网络上的另一个服务器，从而提高安全性。,虚拟交换机安全性设计(2),VMwarevSphere：设计研修班修订版A,如果需要伪造传送和MAC地址更改，应在特定端口组中启用它们。这可减少可能受到影响的服务器数量，从而降低安全风险。除非某一特定应用程序需要“Promiscuous”（混杂）模式，否则应对所有端口组禁用该模式。如果某一特定应用程序需要混杂模式操作，则仅应在所需端口组中启用该模式。这可减少可能受到影响的系统数量，从而降低安全风险。通常需要混杂模式的应用程序包括入侵检测和入侵保护软件、封包捕获实用工具以及性能监控工具。,物理交换机配置,VMwarevSphere：设计研修班修订版A,设计决策：应如何配置物理交换机以支持vSphere基础架构？应配置冗余物理交换机，以提高可用性。如果使用了VLAN，则必须将直接与ESX/ESXi连接的交换机端口手动配置为中继端口。虚拟交换机是被动设备，因此不会发送或接收DTP等中继协议。应修改任何与ESX或ESXi网卡相连的端口上的生成树协议(STP)。,STP注意事项,为了提高可用性，应修改与ESX/ESXi主机相连的交换机端口上的STP配置。,虚拟机0,虚拟交换机,物理交换机,每2秒钟发送一次BPDU以构建和保持生成树拓扑结构的交换机,虚拟交换机将丢弃STPBPDU,被阻塞的链路,针对物理交换机配置的建议：在直接与ESX连接的端口上关闭STP。在直接与ESX连接的端口上启用PortFast模式。,虚拟机1,网络命名惯例(1),VMwarevSphere：设计研修班修订版A,设计决策：应如何配置虚拟网络名称？应将简单、描述性和易于理解的名称用于虚拟交换机和端口组。缩短管理和故障排除时间命名惯例示例：_示例：it_management_01或corp_production_01,选择的交换机方式：标准交换机vs分布式交换机,一般原则：=10台主机，必须采用分布式交换机,议程,总览与设计概述存储设计网络设计主机设计虚拟机设计,CPU容量,CPU特性,CPU至少应为64位。请购买您能够买得起的最好（速度最快、缓存最大、内核最多）的CPU。为支持VMwarevSphere功能，您应购买具有第二代硬件虚拟化辅助功能和硬件辅助MMU功能的CPU。其中包括：带VT-x和扩展页表(EPT)支持的IntelCPU带AMD-V和快速虚拟化索引(RVI)支持的AMDCPU,内存容量,内存大小配置：建议每个物理服务器的物理cpu对应96GB内存，至少也应该配置到64GB内存,BIOS设置,机架式服务器或刀片服务器,VMwarevSphere：设计研修班修订版A,刀片服务器或机架式服务器解决方案必须：在VMware硬件兼容性指南中列出这可以确保VMkernel中提供必要的硬件驱动程序。提供足够的CPU和内存容量来支持所需的虚拟机数量具有足够的存储和网络端口，以提供：足够的存储和网络I/O容量，以支持虚拟机的带宽要求足够的I/O端口冗余，以便在故障和维护期间保持存储和网络可用刀片服务器可能不如某些机架式服务器那样能够提供强大的I/O扩展能力。有关具体的扩展能力，请查看各个供应商的文档。10千兆位以太网、聚合网络适配器(CNA)和虚拟局域网有助于减少所需端口的数量。,命名惯例,VMwarevSphere：设计研修班修订版A,设计决策：应如何命名主机？请使用简单、易于理解的描述性主机名。标准化命名惯例更便于管理、故障排除和使用，从而降低运营开支。下面是命名惯例示例：-.esxi-paloalto-esxi-bangalore-,议程,总览与设计概述存储设计网络设计主机设计虚拟机设计,虚拟机设计-虚拟CPU数量,虚拟机设计-虚拟机内存设计,虚拟机磁盘(1),VMwarevSphere：设计研修班修订版A,设计决策：如何部署虚拟机磁盘？部署一个系统磁盘和一个单独的应用程序数据磁盘。单独的系统磁盘可简化部署过程。单独的应用程序数据磁盘可以简化备份过程。如果需要，单独的应用程序数据磁盘的大小可以轻松增加。单独磁盘有助于分配I/O负载。请不要将所有系统磁盘放在一个数据存储中，而将所有数据磁盘放在另一个数据存储中。请将虚拟机的系统磁盘和数据磁盘放在同一个数据存储中，除非它们的I/O特征差异很大。,虚拟机磁盘(2),VMwarevSphere：设计研修班修订版A,为每个虚拟磁盘配置一个分区。如果有多个分区，只有在增加磁盘大小时，才能扩展最后一个分区。如果数据增长缓慢或不增长，请考虑使用精简部署磁盘。操作系统最初对其磁盘实施格式化的方式可能会抵消精简部署所带来的好处：如果格式化操作将零写入所有扇区，则磁盘将会提前写满。请通过操作系统供应商的文档查找不会在格式化操作期间将零写入所有磁盘扇区的选项。请参阅第6单元中有关精简部署的讨论。,交换文件位置：第一选择,VMwarevSphere：设计研修班修订版A,放在包含虚拟机文件的共享存储上：这是最简单的默认管理配置。vMotion迁移将以最大速率执行。通过复制虚拟机交换文件可增加复制数据存储的产品（例如SRM）所需的复制带宽。即使在虚拟机打开时重新创建交换文件的情况下也会复制交换文件。,交换文件位置：第二选择,VMwarevSphere：设计研修班修订版A,放在本地存储上，虚拟机文件放在共享存储上：减少对更昂贵的网络存储的需要。可以减少复制数据存储的产品（例如SRM）所需的复制带宽。在虚拟机打开时会重新创建交换文件。本地交换文件不应影响虚拟机性能。会降低vMotion迁移的操作速度。交换文件必须从源主机复制到目标主机。复制交换文件时会增加数秒时间，而不会增加数分钟时间。会增加管理开销。,虚拟机设计-虚拟机网卡,虚拟SCSIHBA类型,VMwarevSphere：设计研修班修订版A,设计决策：应配置哪种类型的虚拟机虚拟SCSIHBA？使用默认选项，除非默认选项不支持所需的功能。例如，MicrosoftWindows2008群集服务需要串行连接的SCSI(SAS)设备。如果您坚持要求配置非默认选项，请创建一个模板来简化虚拟机部署。确保您有足够的模板空间和模板访问权限。使用默认选项的一个例外可能是配置半虚拟化SCSI(PVSCSI)HBA。,半虚拟化SCSIHBA(1),VMwarevSphere：设计研修班修订版A,设计决策：应在何时配置使用半虚拟化SCSIHBA的虚拟机？PVSCSI可能在多个环境中都很有用，特别是在硬件或应用程序所产生的I/O吞吐量非常高的SAN环境中更是如此。使用PVSCSI可能会导致较高的吞吐量和较低的CPU使用率。您必须有一个受支持的操作系统。有关受支持操作系统的列表，请参阅VMware知识库文章1010398，网址是：,半虚拟化SCSIHBA(2),VMwarevSphere：设计研修班修订版A,PVSCSI：不适合本地磁盘存储环境：本地存储可能太慢，会抵消PVSCSI所带来的性能优势。不适合包含快照的虚拟机：快照可能会抵消PVSCSI带来的性能优势。在vSphere4.0中不适合由FT保护的虚拟机，或者不受其支持在vSphere4.0Update1之前的版本中不适合Linux引导磁盘或Windows引导磁盘，或者不受其支持,VMwareTools,VMwarevSphere：设计研修班修订版A,设计决策：对于VMwareTools的安装，您应为组织提供哪些建议？仅使用包含VMwareTools的受支持客户操作系统。VMwareTools的一些主要优势包括：使用vmmemctl实现高效的内存管理控制台显示和鼠标操作效果更佳从VMwarevSphereClient菜单中顺利关闭虚拟机提供时间同步（如果需要）在设计中包括VMwarevCenterUpdateManager。UpdateManager执行一次操作即可在多个虚拟机上安装或升级VMwareTools。,虚拟机启动顺序,设计决策：应如何配置虚拟机以保持特定的开机顺序？如果需要特定的开机顺序，则将虚拟机配置为vApp的一部分。使用vApp是确保在迁移虚拟机后虚拟机的开机顺序不会被修改的唯一方法。,vCenter硬件要求：尽可能的部署在虚拟机上,vCenter数据库配置要求：尽可能的部署在虚拟机上,ThemethodsavailableforprotectingthevCenterServersystemandthevCenterServerApplianceare:,RedundancyMethodsforvCenterServer,AutomatedProtectionUsingvSphereHA,vSphereHAfailover:Ifdowntimeofaminuteortwocanbetolerated,protectthevCenterServersystemwithvSphereHA.ThismethodworksonlyforvirtualvCenterServersystemsandvCenterServerAppliances.Thismethodispreferredtothemanualconfigurationandfailovermethod.IfthevSphereHAclusterisalsoenabledforDRS,disablemigrat