VMware a publié une nouvelle mise à jour vSphere 6.7 U3b.
Au niveau de cette version, il n’y a pas de nouvelles fonctionnalités. Toutefois, de nombreux correctifs et mises à jour de sécurité ont été implémentés.
Cette version contient nombreux correctifs de sécurité pour :
Le système d’exploitation Photon utilisé pour VMware vCenter Server Appliance.
Dans cet article, nous allons essayer de comprendre ce qu’est un Platform Services Controller.
À partir de vSphere 6.0, les composants vCenter sont regroupés en deux rôles séparés, comme suit :
VCenter Server : appelé nœud de gestion, utilisé pour fournir des services spécifiques liés à vCenter.
Platform Services Controller : appelé contrôleur d’infrastructure, utilisé pour fournir des services d’infrastructure communs à différents produits VMware.
PSC est un composant très
important dans une plateforme vSphere, car il centralise de nombreuses
fonctionnalités importantes.
Platform Services Controller appelé PSC, il simplifie et centralise les services tels que la gestion des licences, les tags, la gestion des identités avec les autorisations, les rôles, les domaines d’authentification unique (SSO) et les certificats.
Le PSC est un composant nécessaire pour pouvoir déployer le vCenter, sans PSC, il est impossible d’installer un vCenter.
Le déploiement est possible selon
deux types d’installations :
EMBEDDED MODE
Le mode intégré permet une installation de vCenter Server et PSC dans une même Appliance (une seule machine virtuelle), il s’agit du mode idéal pour les petits environnements.
EXTERNAL MODE
Le mode externe permet de déployer une Appliance PSC en premier (une seule VM) et par la suite permet l’installation du vCenter (Une deuxième VM) en indiquant l’adresse du premier PSC Appliance.
Ce type de déploiement (External PSC) nous permet une grande flexibilité, tel que la possibilité de connecter plusieurs vCenter au même PSC et de mettre en place des mécanismes de haute disponibilité et d’équilibrage de charge entre plusieurs instances PSC synchronisées.
vSphere HA utilise le contrôle d’admission pour
s’assurer que des ressources suffisantes sont disponible dans un cluster VMware
pour assurer la disponibilité des machine virtuelles en cas de basculement à
cause d’une de défaillance d’un hôte.
La base du contrôle d’admission vSphere HA est le
nombre de défaillances d’hôte que le cluster est autorisé à tolérer (FTT :
Number of Failures to Tolerate).
Trois types de contrôle d’admission sont disponibles :
Pourcentage de ressources de cluster
Avec ce type de contrôle d’admission, vSphere HA vérifie qu’un pourcentage spécifié de ressources CPU et Mémoire est réservé pour le basculement.
Lorsque l’option de pourcentage de ressources de
cluster est configurée, vSphere HA implémente le contrôle d’admission comme
suite :
Calcule les besoins en ressources pour toutes les machines virtuelles sous tension dans le cluster.
Calcule les ressources disponibles au niveau des hôtes pour les machines virtuelles.
Calcule la Capacité CPU et Mémoire nécessaire au basculement du cluster.
Détermine si la Capacité CPU et Mémoire requis pour le basculement sont inférieures ou non à la Capacité de basculement configurée correspondante (spécifiée par l’utilisateur).
Prenons l’exemple suivantes pour un cluster VMware
:
Un cluster de trois
hôtes ESXI, ayant la configuration mémoires et CPU :
Hôtes ESXI
CPU (Ghz)
Mémoire (Go) disponible
H1
9
9
H2
9
6
H3
6
6
Il y a cinq machines
virtuelles sous tension dans le cluster avec des besoins en CPU et en mémoire
différents :
Machine Virtuelle
CPU (Ghz)
Mémoire (Go)
VM 1
2
1
VM 2
2
1
VM 3
1
2
VM 4
1
1
VM 5
1
1
La capacité de basculement configurée pour le processeur et la mémoire est de 25 %.
Les ressources totales requises pour les machines
virtuelles sous tension sont de 7 Ghz et 6 Go.
Le total des ressources hôte disponibles pour les
machines virtuelles est de 24 Ghz et 21 Go. À partir de là, la capacité de
processeur actuelle pour le basculement est de 70% ((24 Ghz – 7 Ghz)/24 Ghz).
De même, la capacité de mémoire de basculement actuelle est de 71% (21 Go – 6
Go) / 21 Go).
Étant donné que la capacité de basculement configurée pour le cluster est de 25%, 45% des ressources CPU et 46% des ressources de mémoire sont toujours disponibles.
Stratégie d’emplacement
vSphere HA garantit que même si un nombre spécifié d’hôtes est défaillant, il reste suffisamment de ressources sur le cluster pour permettre le basculement de toutes les machines virtuelles à partir de ces hôtes. .
Donc, vSphere HA effectue le contrôle d’admission comme suit:
Calculez la taille de l’emplacement. (Un emplacement est une représentation logique de la mémoire et CPU).
Détermine le nombre d’emplacements pouvant être présents sur chaque hôte du cluster.
Détermine la capacité de basculement actuelle du cluster.
Détermine si la capacité de basculement actuelle est inférieure à la capacité de basculement configurée (spécifiée par l’utilisateur).
Nous allons illustrer par un exemple la méthode de calcul de la taille d’emplacement et son utilisation avec cette stratégie de contrôle d’admission, Considérez les hypothèses suivantes :
Le cluster est composé de trois hôtes, chacun avec différentes quantités de CPU et de mémoire disponibles. Le premier hôte (H1) à 9 Ghz de ressources processeur et 9 Go de mémoire disponible. Le second (H2) à 9 Ghz de CPU et 6 Go de mémoire disponible et le troisième (H3) à 6 Ghz de CPU et 6 Go de mémoire disponible.
Cinq machines virtuelles actives du cluster ont des exigences différentes en matière de processeur et de mémoire. VM1 nécessite 2 Ghz de ressources de processeur et 1 Go de mémoire, alors que VM2 nécessite 2 Ghz et 1 Go, VM3 nécessite 1 Ghz et 2 Go, VM4 nécessite 1 Ghz et 1 Go, VM5 nécessite 1 Ghz et 1 Go.
Le nombre de défaillance d’hôte tolérées par le cluster sont définies sur la valeur 1.
1– La taille d’emplacement est calculée en comparant à la fois les exigences de CPU et de mémoire des machines virtuelles et en sélectionnant la plus élevée.
Le besoin en CPU le plus élevé (partagé par VM1 et VM2) est de 2 GHz, tandis que le besoin en mémoire le plus élevé (VM3) est de 2 Go. Partant de là, la taille d’emplacement se compose d’un CPU de 2 GHz et d’une mémoire de 2 Go.
2– Le nombre maximum d’emplacements pouvant être pris en charge par chaque hôte est déterminé.
H1 peut prendre en charge quatre emplacements. H2 peut prendre en charge trois emplacements (le plus bas de 9 GHz/2 GHz et 6 Go/2 Go) et H3 peut aussi en prendre en charge trois.
3- La Capacité de basculement actuelle est calculée.
Le plus gros hôte est H1 et s’il est défectueux, le cluster contient toujours six slots, ce qui est suffisant pour les cinq machines virtuelles sous tension. Si H1 et H2 sont défectueux, il ne reste que trois emplacements, ce qui est insuffisant. Par conséquent, la Capacité de basculement actuelle est de 1.
Le cluster a un slot disponible (les six slots de H2 et H3 moins les cinq slots utilisés).
Hôtes de basculement dédiés
vSphere HA peut être configuré pour désigner des hôtes ESXI spécifiques comme hôtes de basculement. Avec le contrôle d’admission sur les hôtes de basculement dédiés, en cas de défaillance de l’hôte, vSphere HA tente de redémarrer ses machines virtuelles sur les hôtes de basculement prédéfinis. vSphere HA peut être configuré pour désigner des hôtes ESXI spécifiques comme hôtes de basculement. Avec le contrôle d’admission sur les hôtes de basculement dédiés,
Si cela n’est pas possible parce que les hôtes de basculement sont en panne ou que leurs ressources sont insuffisantes, vSphere HA tente de redémarrer ces VMs sur d’autres hôtes du cluster.
Pour que les fonctionnalités restent disponibles sur un hôte de basculement, vous ne pouvez pas mettre les machines virtuelles sous tension ni utiliser vMotion pour migrer des machines virtuelles vers un hôte de basculement.
De plus, DRS n’utilise pas d’hôte de basculement pour l’équilibrage de la charge.
Pour augmenter le niveau de sécurité de vos hôtes ESXi, vous pouvez utiliser le mode Verrouillage (Lockdown Mode).
A partir de vSphere 6.0, VMware propose deux modes de verrouillage (normal et strict) et une liste d’utilisateurs exceptionnels.
Les utilisateurs exceptionnels ne perdent pas leurs privilèges lorsque l’hôte entre en mode de verrouillage.
Utilisez la liste d’utilisateurs exceptionnels pour ajouter les comptes de solutions tierces et d’applications externes qui doivent accéder directement aux hôtes ESXI lorsque ils sont en mode de verrouillage.
Si ESXi Shell ou SSH est activé et que l’hôte est placé en
mode de verrouillage, les comptes de la liste des utilisateurs exceptionnels
disposant de privilèges d’administrateur peuvent utiliser ces services. Pour
tous les autres utilisateurs, l’accès ESXi Shell ou SSH est désactivé.
À partir de vSphere 6.0, les sessions ESXi ou SSH pour les utilisateurs ne disposant pas de privilèges d’administrateur sont fermées.
En mode de verrouillage, certains services sont désactivés et d’autres ne sont accessibles qu’à certains utilisateurs, veuillez trouver ci-dessous un récapitulatif du comportement du Lockdown Mode :
Activation/Désactivation du mode verrouillage
Accédez à l’hôte dans l’inventaire de vSphere Client.
Cliquez sur Configurer.
Dans Système, sélectionnez Profil de sécurité.
Dans le panneau mode verrouillage, cliquez sur Modifier.
Cliquez sur Mode verrouillage et sélectionnez l’une des options du mode de verrouillage.
PNID (Primary Network IDentifier of vCenter Server) est le
nom du système (FQDN) défini lors du déploiement de vCenter Server.
vCenter Server ne supporte pas la modification du nom PNID, cette limitation a été remontée à VMware par de nombreux clients et partenaires. (voir KB 2130599).
Heuresement, VMware a pris en charge ces remarques au niveau de vSphere 6.7 Update 3.
À partir de vSphere 6.7 Update 3, il est désormais possible
de renommer le nom FQDN ou PNID du vCenter Server, contrairement aux
versions précédentes de vSphere.
Cette nouvelle fonctionnalité offre aux clients plus de flexibilité dans la gestion des plateformes VMware.
Pour pouvoir bénéficier de cette nouvelle fonctionnalité de
vCenter Server, vous devez disposer de :
vCenter Server 6.7 Update 3.
Un compte administrateur de domaine SSO
(exemple: [email protected])
Une fois que vous disposez des deux éléments précités, vous devez vérifier et prendre en compte les conditions préalables suivantes :
La modification du nom FQDN prend en charge uniquement les nœuds embedded vCenter Server.
Désenregistrés tous les produits déjà enregistrés sur votre vCenter avant de démarrer et réenregistrer ces éléments une fois le changement de nom est terminé.
Effectuez une sauvegarde (File-Based Backup) de VCSA avant de démarrer l’opération.
Supports Enhanced Linked Mode (ELM) : supprimez vCenter Server du domaine vSphere SSO à l’aide de la commande CMSSO-UTIL, puis modifiez le nom PNID et rejoignez-le au domaine vSphere SSO.
Supprimez vCenter HA (VCHA) avant de renommer vCenter Server.
Les certificats personnalisés devront être régénérées.
Hybrid Linked Mode avec Cloud vCenter Server doit être recréé.
Vous devez rejoindre à nouveau vCenter Server au domaine Active Directory après le changement de nom.
Mise à jour de l’enregistrement DNS (A) pour garantir la résolution (Hostname ↔ Adresse IP).
C’est un changement majeur, donc, une planification adéquate est essentielle.
Surtout, assurez-vous d’avoir des sauvegardes valide de vCenter Server.
VMware a annoncé la nouvelle version du produit vSphere, VMware vSphere 6.7 Update 3.
Cette nouvelle version de vSphere inclut de nouvelles fonctionnalités pour des opérations simplifiées et des performances accrues.
Mulitiple NVIDIA vGPUs per VM
VMware vSphere 6.7 Update 3 introduira la prise en charge de plusieurs GPU virtuels NVIDIA GRID (vGPU) par machine virtuelle.
Vous pouvez configurer jusqu’à quatre vGPU NVIDIA connectés à une machine virtuelle, ce qui permet d’améliorer les graphiques et les performances des applications.
AMD EPYC Generation 2 Support
vSphere 6.7 update 3 est désormais compatible avec la 2e génération de processeurs AMD EPYC ™.
Ability to change vCenter Server PNID
PNID (Primary Network IDentifier of vCenter Server)
est le nom du système défini lors du déploiement de vCenter Server.
La recommandation générale consiste à utiliser le nom (FQDN), toutefois, il n’a pas été possible de modifier le nom FQDN appelé (PNID) de vCenter Server dans les versions précédentes de vSphere.
Heureusement, la version 6.7 Update 3 offre la possibilité
de renommer le nom PNID.
NB : Le nom PNID peut être mise à jour à partir de l’interface VAMI (Virtual Appliance Management Interface).
Dynamic DNS support
Lorsque VCSA (vCenter Server Appliance) est installé avec
une adresse IP dynamique basée sur un serveur DHCP, une fois l’adresse IP de
VCSA modifiée, les enregistrements DNS doivent être mis à jour manuellement.
Avec vSphere 6.7 Update 3, l’utilisation du Dynamic DNS est prise en charge, ce qui permet au VCenter Server de pouvoir enregistrer et mettre à jour de manière dynamique ces enregistrements sur les serveurs DNS.
Driver Enhancements
Plusieurs améliorations ont été apportées à la version 4 du pilote VMXNET3, telles que:
Guest encapsulation offload and UDP.
ESP RSS support to the Enhanced Networking Stack (ENS).
RSS on UDP.
ESP packets run on demand.
De plus, les pilotes suivants ont été mis à jour:
VMware nvme
Microchip smartpqi
Marvell qlnativefc
Broadcom lpfc/brcmfcoe
Broadcom lsi_msgpt2
Broadcom lsi_msgpt35
Broadcom lsi_msgpt3
Broadcom lsi_mr3
Intel i40en
Intel ixgben
Cisco nenic
Broadcom bnxtne
vSAN 6.7 Update 3
VMware continue d’améliorer vSAN, avec des fonctionnalités supplémentaires, une efficacité accrue et une gestion simplifiée dans vSAN 6.7 Update 3.
Managed Object Browser (MOB), est une interface graphique intégrée aux systèmes ESXi et vCenter.
Cet utilitaire vSphere vous permet de parcourir les
informations détaillées sur des objets tels que des machines virtuelles, des
banques de données et des pools de ressources.
Vérification de l’état du MOB
Pour vérifier si MOB est activé, ouvrez un navigateur et entrez http://x.x.x.x/mob (remplacez x.x.x.x par l’adresse IP de vCenter Server ou de votre hôte ESXi).
Si MOB est activé, le serveur vous invitera à saisir vos informations d’identification.
Sinon (non activé), le serveur affiche l’erreur « HTTP 503 – Service Unavailable ».
Par défaut, MOB est désactivé dans vSphere 6.x et doit être activé manuellement.
Activation de MOB à l’aide de vSphere Client
Se connecter à l’hôte ESXI via le vSphere Web Client.
Cliquer sur Gérer ==> Système ==> Paramètres avancés et Sélectionner la clé Config.HostAgent.plugins.solo.enableMob et activez-la.
Depuis la mise à niveau de VxRail 4.5 vers la version 4.7, une grande partie de l’interface de gestion de VxRail Manager a été intégrée au client vSphere 6.7 HTML5.
Depuis lors, les messages d’erreur, les notifications et les alertes
VxRail sont disponibles sous l’interface vCenter (au lieu de l’interface VxRail
Manager).
Cependant, ces codes de type VXRxxxx ne sont pas vraiment
significatifs et ne décrivent pas vraiment le problème.
Pour vous simplifier la vie lors du dépannage de VxRail, je partage avec vous la liste des codes d’alerte et des événements générés par VxRail via le lien suivant : Event Code
Lors du démarrage d’une machine virtuelle hébergé sous VMware ESXI, l’erreur suivante peut se produire : Failed to lock the file.
Cette erreur est due au verrouillage des fichiers de la machine virtuelle, souvent le disque virtuel (*.VMDK).
Pour empêcher les modifications simultanées des fichiers
critiques de la machine virtuelle, Les hôtes VMware ESXi établissent des
verrous sur ces fichiers.
Quelques exemples où les fichiers des VMs sont verrouillés:
Sauvegarde en cours d’exécution.
L’outil de sauvegarde conserve un verrou sur les
fichiers de la machine virtuelle après avoir effectué une sauvegarde.
Les fichiers sont en cours d’utilisation par
d’autres machines virtuelles.
Solution
Localisez le fichier verrouillé via le message d’erreur ou le fichier journal vmware.log.
Exécutez la commande vmfslockinfo -p suivi du chemin complet du fichier verrouillé.
Assurez-vous que le résultat confirme que le fichier est verrouillé et notez l’adresse MAC de l’hôte propriétaire du verrouillage (lock).
Par la suite, il est nécessaire de localiser l’hôte ESXI qui possède une carte réseau avec cette adresse MAC.
Mettez l’hôte identifié par vmfsfilelockinfo en mode maintenance et redémarrez-le.
Remarques
Avant de redémarrer l’hôte ESXI, si votre plate-forme compte plusieurs nœuds, veuillez tester la migration de la machine virtuelle vers un autre hôte ESXI.
Si le verrouillage est généré par votre outil de sauvegarde, un simple redémarrage de votre serveur de sauvegarde débloquera parfois la situation.
Si le résultat de la commande vmfsfilelockinfo indique que le fichier est libre, veuillez vérifier les autres fichiers de la VM à l’aide de la même commande (*.VMDK, *.VMX, *.VMXF, *.VSWP et *.log).
Badr Eddine CHAFIQ
En tant qu'Architecte et Expert Systèmes et Virtualisation, ce blog fait partie d'une approche de partage de connaissances «giving back» autour des technologies de virtualisation "en particulier VMware", Cloud et Hyper-convergence.Le but principal de ce blog est de partager les nouveautés, Tutoriels , conseils et apporter des solutions techniques.