ADMIN

2023

01

2022-12-29T12:00:00

Collaboration

PRAXIS

034

Servervirtualisierung

Virtualisierungs-Plattform

vSphere

Neuerungen in vSphere 8

Sinnvolle Sanierung

von Evgenij Smirnov

Veröffentlicht in Ausgabe 01/2023 - PRAXIS

Im Rahmen seiner diesjährigen Explore-Konferenz stellte VMware die neue Hauptversion des Flaggschiffprodukts für die RZ-Virtualisierung vor. Mit vSphere 8 kommen Verbesserungen wie die Data Processing Units und SmartNICs, VMs werden renoviert und das Thema Sicherheit profitiert nicht zuletzt von einem Feature, das rasantes Patchen erlaubt.

Im Sommer 2022 war die Stimmung in der VMware-Gemeinde von Unsicherheit geprägt. Die Nachricht von der Übernahme durch Broadcom hat vielerlei Gerüchte beflügelt – von anstehenden Massenentlassungen bis zur Aufgabe ganzer Produktsparten spekulierten die Medien über alles Erdenkliche. Den Gerüchten versuchte der Hersteller auf seiner jährlichen Hausmesse "VMware Explore" entgegenzuwirken, indem er neue Produktversionen und Features vorlegte. Zumindest im Bereich der Datacenter-Virtualisierung können IT-Verantwortliche aufatmen – vSphere wartet in der neuen Version 8 mit zusätzlichen Funktionen auf, die das Potential haben, die Verwaltung eines virtualisierten Rechenzentrums oder einer Private Cloud weiter zu verbessern. Schauen wir uns diese nun im Detail an.
Offloading extrem mit DPUs
Wenn Sie einmal den Einsatz von vSAN für den Storage oder NSX für das Netzwerk planen mussten, kennen Sie bereits das Problem, dass der CPU- und RAM-Bedarf dieser Funktionen aus dem für VM- oder Container-Workloads verfügbaren Ressourcenbudget herauszurechnen ist. Je mehr moderne Features Sie in Ihrem hyperkonvergenten Rechenzentrum einsetzen möchten, desto weniger Rechenleistung bleibt für die eigentlichen Workloads übrig.
Um mit dieser Zwickmühle richtig umzugehen, lohnt es sich zu schauen, wie Hyperscaler wie Microsoft Azure oder AWS dieses Problem angreifen. Auf den ersten Blick sind Cloudprovider zumindest kaufmännisch auf der sicheren Seite – sie können die Cloud-VMs einfach etwas teurer machen und davon die zusätzlich benötigte Rechenleistung in ihren Rechenzentren implementieren.
Im Sommer 2022 war die Stimmung in der VMware-Gemeinde von Unsicherheit geprägt. Die Nachricht von der Übernahme durch Broadcom hat vielerlei Gerüchte beflügelt – von anstehenden Massenentlassungen bis zur Aufgabe ganzer Produktsparten spekulierten die Medien über alles Erdenkliche. Den Gerüchten versuchte der Hersteller auf seiner jährlichen Hausmesse "VMware Explore" entgegenzuwirken, indem er neue Produktversionen und Features vorlegte. Zumindest im Bereich der Datacenter-Virtualisierung können IT-Verantwortliche aufatmen – vSphere wartet in der neuen Version 8 mit zusätzlichen Funktionen auf, die das Potential haben, die Verwaltung eines virtualisierten Rechenzentrums oder einer Private Cloud weiter zu verbessern. Schauen wir uns diese nun im Detail an.
Offloading extrem mit DPUs
Wenn Sie einmal den Einsatz von vSAN für den Storage oder NSX für das Netzwerk planen mussten, kennen Sie bereits das Problem, dass der CPU- und RAM-Bedarf dieser Funktionen aus dem für VM- oder Container-Workloads verfügbaren Ressourcenbudget herauszurechnen ist. Je mehr moderne Features Sie in Ihrem hyperkonvergenten Rechenzentrum einsetzen möchten, desto weniger Rechenleistung bleibt für die eigentlichen Workloads übrig.
Um mit dieser Zwickmühle richtig umzugehen, lohnt es sich zu schauen, wie Hyperscaler wie Microsoft Azure oder AWS dieses Problem angreifen. Auf den ersten Blick sind Cloudprovider zumindest kaufmännisch auf der sicheren Seite – sie können die Cloud-VMs einfach etwas teurer machen und davon die zusätzlich benötigte Rechenleistung in ihren Rechenzentren implementieren.
Doch ist dieser Ansatz bereits vor Jahren auch technisch an seine Grenzen gekommen. Bei der Addition aller Funktionen für Netzwerk, Storage und Management plus den produktiven Workloads auf der Host-CPU gerät der Scheduler im Hypervisor unter Druck und die Performance des Gesamtsystems leidet. Das trieb die Cloudprovider, die das Hardwaredesign ihrer Rechenzentren frei bestimmen können, in Richtung spezialisierter Funktionsprozessoren, die eben nur Netzwerk- oder Storage-Virtualisierung abbilden können, dies aber extrem schnell und ohne die Haupt-CPU zu belasten.
Von dieser Technologie können nun auch Admins unter Einsatz handelsüblicher x86-Server profitieren. Unter der nur teilweise zutreffenden Bezeichnung "SmartNIC" bieten Hersteller wie Intel, NVIDIA und AMD (Pensando) Einbaumodule für Server an, mit denen sich die Virtualisierung des Netzwerk- und Storage-Traffics abseits der CPU und des PCIe-Busses abwickeln lässt. Die herkömmlichen Compute-Ressourcen des Hosts bleiben den Workloads vorbehalten. In der Regel sind solche Module mit einer leistungsstarken ARM-CPU und genügend Storage ausgestattet, um einen Hypervisor zu installieren und die gewünschten Funktionen in einer derart virtualisierten Umgebung auszuführen, während sich der "Haupt-Hypervisor" den produktiven Workloads widmet.
VMware hat bereits 2020 das Projekt "Monterey" [1] gestartet, um die Nutzung dieser Module für den Datacenter-Mainstream zu erschließen. Mit vSphere 8 können IT-Verantwortliche, die ihr Rechenzentrum mit der "Enterprise Plus"-Edition lizenziert haben, sofort von den SmartNICs in ihren Hosts profitieren. Das dazugehörige Feature nennt sich "Distributed Services Engine", die SmartNICs werden in weiser Voraussicht als "Data Processing Units" (DPU, analog zu CPU und GPU) bezeichnet. Denn es ist zu erwarten, dass die Technologie neben der Beschleunigung von vSAN und NSX weitere Anwendungen finden wird.
Derzeit sind SmartNICs jedoch die einzigen Vertreter der Gattung und so ist der Ort, an dem Sie die jeweils zu unterstützende DPU-Technologie einstellen können, der Distributed Virtual Switch (dvSwitch). Sie müssen sich dabei allerdings pro dvSwitch für eine Technik entscheiden. Zur Wahl stehen AMD Pensando und NVIDIA BlueField. Intels SmartNICs, die der Hersteller selbst "Infrastructure Processing Units" (IPU) nennt, werden derzeit noch nicht unterstützt.
Vieles beim Alten, nur besser
Der vSphere-Hypervisor und dessen Verwaltung durch das vCenter unterliegen einer ständigen Verbesserung und Weiterentwicklung, um noch robuster und performanter zu werden und die größtmögliche Auswahl an Host-, Netzwerk- und Storage-Konfigurationen zu unterstützen.
Keine großen Änderungen gibt es derweil in Bezug auf die verfügbaren vSphere-Features und deren Zuordnung zu den Lizenzstufen "Standard" und "Enterprise Plus". Die beschriebene "Distributed Services Engine" ist wegen der Abhängigkeit zum Distributed Virtual Switch ein Enterprise-Plus-Feature, ansonsten ist die Feature-Matrix [2] gegenüber vSphere 7 unverändert. Auch die Konfigurationslimits von vSphere 8 sind mit denen der letzten Version identisch.
Die bereits seit vielen vSphere-Versionen bekannten Host-Profile werden zu "Configuration Profiles" ausgebaut, um richtlinienbasierte Verwaltung von anderen vSphere-Objekten wie Clustern oder vCentern zu ermöglichen. Die über Host-Profile hinausgehende Technologie befindet sich momentan noch im Vorschaustatus und umfasst lediglich Cluster- Konfigurationen – mit zukünftigen Updates sollen weitere Konfigurationsmöglichkeiten hinzukommen. Wie bereits die Host-Profile sind Konfigurationsprofile ein Enterprise-Plus-Feature.
Bild 1: Damit die Distributed Services Engine zum Einsatz kommt, muss der dvSwitch auf dem aktuellsten Stand sein.
Rasant patchen
Auch das Deployment von Hosts und vCenter-Appliances sowie das Upgrade von einer unterstützten Vorversion kommen erfahrenen vSphere-Administratoren vertraut vor. Sie können also weiterhin von Ihrer Erfahrung im vSphere-Betrieb profitieren. Selbst die althergebrachte Verwaltung von Host-Updates mittels Update-Manager-Baselines hat VMware mit vSphere 8 lediglich auf die Abkündigungsliste gesetzt.
Sie können die Baselines also weiterhin nutzen, sollten sich jedoch eingehend mit den nicht mehr ganz so neuen Features des VMware Lifecycle Manager (vLCM) beschäftigen, falls Sie es bisher nicht getan haben. Der vLCM hat mit vSphere 8 Verbesserungen erfahren, die Patch-Zeitfenster drastisch reduzieren können:
- Das aktualisierte Cluster-Image lässt sich auf den Hosts bereitstellen, ohne diese in den Wartungsmodus zu versetzen. Bei der späteren Anwendung des Images benötigen Sie den Wartungsmodus zwar weiterhin, das vorbereitende Staging können Sie jedoch bereits im Tagesbetrieb statt erst im Wartungsfenster erledigen.
- Wenn die Cluster-Auslastung und die HA-Einstellungen es zulassen, mehrere Hosts gleichzeitig zu evakuieren, wird der vLCM die höchstmögliche Anzahl an Hosts gleichzeitig patchen, was insbesondere bei großen Clustern den Standardisierungsvorgang deutlich beschleunigt.
- Der "Quick Boot" weist die Host-Hardware beim Neustart an, die Hardwarechecks zu überspringen, was die Reboot-Dauer stark verkürzt.
In Zeiten wie heute, wo es für den Erfolg Ihrer übergreifenden Sicherheitsstrategie essenziell ist, alle Systeme aktuell zu halten, stellt das vereinfachte und beschleunigte Patchen einen wichtigen Beitrag zur Infrastruktursicherheit dar.
Viel Neues bei virtuellen Maschinen
Sind die Neuerungen im Bereich des Host- und Cluster-Managements wichtig, aber eher überschaubar, so erhalten die VMs einige interessante neue Features. Dafür müssen diese, wie bei vSphere üblich, die neuste Version der virtuellen Hardware (vmx-20) und aktuelle VMware Tools ausführen. Einige der neuen Features haben mit der Host-Hardware zu tun, genauer gesagt, mit dem Präsentieren der Hardware an die VMs. So lassen sich mittels "Device Groups" mehrere unterstützte Geräte, die am gleichen PCIe-Switch angeschlossen sind, zu logischen Einheiten zusammenfassen.
Ein Beispiel dafür ist ein Verbund aus mehreren GPUs mit einem internen Interconnect, wie sie in Machine-Learning-Workloads zum Einsatz kommen. Der Clou dabei: Cluster-Funktionen wie HA und DRS wissen um die Gerätegruppen und wählen bei Neustarts oder Verschiebungen einen Host aus, der die benötigten Hardwareressourcen auch liefern kann.
Für Hersteller von Hardwarekomponenten bietet vSphere 8 die API "Device Virtualization Extensions" (DVX), mit der sich Gerätetreiber für Host und Gast so entwickeln lassen, dass beispielsweise vMotion-Vorgänge trotz durchgeschleifter Hardwaregeräte möglich sind, wie Sie es von NVIDIA-GPUs her kennen. Und mit der Hardware-Version 20 können Sie die NUMA-Einstellungen Ihrer VMs granular bearbeiten. So lassen sich beispielsweise Geräte wie Speicheradapter, Netzwerkkarten oder USB-Controller dediziert einzelnen NUMA-Knoten zuweisen, um die CPU-Last bei hoher Interrupt-Frequenz dieser Geräte optimal auf die CPUs zu verteilen.
Schließlich erlauben latenzempfindliche VMs beispielsweise Echtzeitanwendungen wie Videotelefonie. Dafür erhält die VM exklusiven Zugriff auf die benötigte Anzahl physischer CPU-Kerne. Ist Hyperthreading (HT) auf den Hosts (im BIOS und im ESXi-Scheduler) aktiviert, können Sie dieses berücksichtigen, indem Sie den Latenzempfindlichkeitstyp der virtuellen Maschine auf "Hoch mit Hyperthreading" setzen. Mit dieser Einstellung wird kein ganzer Kern für jede vCPU reserviert, sondern lediglich ein HT-Thread. Anwendungen innerhalb der VM benehmen sich damit in Bezug auf die CPU-Zuteilung exakt so wie auf der physischen Hardware. In jedem Fall ist der gesamte RAM und die gesamte CPU für eine latenzempfindliche VM zu reservieren.
Bild 2: Die neuen Features der Host-Profile erlauben aktuell die Verwaltung von Clustern.
Mehr innerbetriebliche Kommunikation
vSphere 8 bietet einen neuen Kommunikationskanal zwischen der vSphere-Infrastruktur und den Anwendungen innerhalb von VMs: vMotion Notifications [3]. Deren Nutzung erfordert Anpassungen an den bestehenden Anwendungen sowie die erweiterte Einstellung "vmOpNotificationToAppEnabled" bei jeder betroffenen VM. Nach Erhalt einer Migrationsbenachrichtigung können Anwendungen die anstehende vMotion verzögern, bis die in der Host-Einstellung "vmOpNotificationTimeout" konfigurierte Anzahl Sekunden verstrichen ist. Verhindern können Applikationen vMotion allerdings nicht.
Green IT lässt grüßen
Der Energieverbrauch ist ein in den Medien zurzeit sehr präsentes Thema und die IT-Infrastrukturen bilden da keine Ausnahme. Virtualisierungshosts laufen klassisch in einer "High Performance"-Konfiguration, um Leistungsproblemen bei virtuellen Workloads von vornherein aus dem Weg zu gehen. Es ist intuitiv klar, dass bei Organisationen, die keinen 24/7-Schichtbetrieb unterstützen müssen, dabei viel Energie verschwendet wird. Es ist aber in der Regel schwer zu beziffern, wie viel genau.
vSphere 8 leistet hier Abhilfe und bietet in der Leistungsüberwachung mehrere neue Indikatoren. Pro Host lassen sich nun neben dem momentanen Energiebedarf ("power", in Watt) und der aufgelaufenen Nutzung ("energy", in Joule) noch Stromnutzung durch VMs, Stromnutzung durch Nicht-VM-Vorgänge sowie Leerlauf-Stromnutzung messen und aggregieren. Pro VM stehen "power" und "energy" zur Verfügung. Entsprechend aufsummiert, lassen sich damit sowohl die Energieeffizienz des virtualisierten Rechenzentrums als auch der Stromverbrauch einzelner Abteilungen oder Dienste messen.
Zahlreiche Umbauten bei der Verschlüsselung
Viele Verbesserungen hat vSphere auch in puncto Sicherheit erfahren. Alle vSphere-Dienste und Komponenten unterstützen mit der Version 8 ausschließlich TLS ab Version 1.2. Ältere Protokolle, die bereits in vSphere 7 ab Werk deaktiviert waren, sind nun aus den Binaries entfernt und nicht mehr durch den Administrator aktivierbar. Eine weitere veraltete Technologie, die VMware mit vSphere 8 aufgibt, ist TPM 1.2. Von den Möglichkeiten, die ein Trusted-Platform-Modul bietet, können ESXi-Hosts nur noch profitieren, wenn ein TPM-2.0-Chip verbaut ist. Die Installation von ESXi wird durch TPM 1.2 nicht verhindert, es aktivieren sich jedoch keine von TPM abhängigen Sicherheitsfunktionen wie Host Attestation oder Intel TXT.
Auch im Bereich virtualisierter TPM-Technologie gibt es gravierende Neuerungen. Da Windows 11 für die Installation einen TPM-Chip voraussetzt, gewinnt zumindest bei VDI die vTPM-Technologie rapide an Bedeutung, wenn Unternehmen anfangen, VDI auf Win-dows 11-Basis auszurollen. vTPM in vSphere ist nicht ganz neu, jedoch wurde bisher beim Klonen einer vTPM-bewehrten VM der Inhalt des TPM-Chips einfach mitgeklont.
In stark gefährdeten oder hochsicheren Umgebungen wie beispielsweise bei virtualisierten Privileged-Access-Workstations (PAW) ermöglichen die gleichen Schlüsselinformationen in vTPMs aller virtuellen Maschinen, die auf TPM basierenden Sicherheitsfeatures zu umgehen, falls ein Bösewicht eine solche VM unter seine Kontrolle gebracht hat. vSphere 8 ermöglicht es, das vTPM beim Klonen automatisch neu zu initialisieren und so das gleiche Maß an Individualisierung zu erreichen wie bei physischer Hardware. Allerdings ist dabei zu erwarten, dass einige Anwendungen, die sich auf die im TPM gespeicherten Geheimnisse verlassen, nicht mehr erfolgreich geklont werden können.
Übrigens: Die Kompatibilitätsliste für externe Key-Management-Server ist mit derzeit lediglich vier Modellen sehr überschaubar. Es ist zu erwarten, dass einige Hersteller ihre KMS-Produkte in den nächsten Monaten zertifizieren lassen werden. Falls Sie jedoch einen KMS mit vSphere 6.7 oder 7.0 einsetzen und auf vSphere 8 upgraden wollen, sollten Sie die Kompatibilität zu Ihrem KMS-Modell vorab prüfen. Haben Sie mit vSphere 7 auf den nativen Key Provider Ihres vCenter-Servers gesetzt, wird Ihre Infrastruktur nach dem Upgrade unverändert funktionieren.
Aus der Erfahrung von Ransomware-Angriffen auf vSphere-Infrastrukturen heraus hat VMware striktere Regeln für die ausführbaren Binaries innerhalb von ESXi eingeführt. Jeder Dienst oder Daemon läuft in einer vom Rest des Hypervisors isolierten Sandbox, um das Übergreifen auf kritische Dienste, zum Beispiel durch gegenseitig sichtbare RAM-Bereiche, zu verhindern. Und erstmals ist ab Werk die Option "execInstalledOnly" aktiviert, womit ausschließlich Dateien zur Ausführung kommen dürfen, die aus einem VIB-Paket explizit installiert worden sind.
Zu den Wolken
Unsere letzte Neuerung ist genau genommen nicht Teil von vSphere 8, wird jedoch von VMware zeitgleich angeboten und insbesondere im Rahmen von Upgrades sehr aggressiv beworben. Für IT-Verantwortliche, die ihre Infrastrukturausgaben vom Investitionsins Betriebskostenbudget verlagern und gleichzeitig von den Vorteilen einer stets aktuellen, weltweit verfügbaren Cloud profitieren möchten, bietet VMware mit vSphere+ und vSAN+ die Möglichkeit, ihre gesamte vSphere- und vSAN-Landschaft mittels einer Cloudkonsole in die VMware-Cloud zu integrieren. Setzen Sie bereits VMware-Cloudfunktionen ein, so fließen diese nahtlos mit der Verwaltung Ihrer On-premises-Rechenzentren zusammen.
Besonders stark werden diejenigen Organisationen von der Einbindung in die Cloudkonsole profitieren, die eine Vielzahl von vCenter-Instanzen an geografisch verteilten und nicht optimal untereinander verbundenen Standorten zu verwalten haben. Hier bietet die Cloudintegration die Möglichkeit, alle Verwaltungsaufgaben an einem Ort zu erledigen, ohne sich dediziert zu den einzelnen betroffenen vCenter-Instanzen verbinden zu müssen. Das betrifft sowohl Wartungsaufgaben wie Updates und Anwendung von Host-Profilen als auch die Bereitstellung von VMs aus Vorlagen und Inhaltsbibliotheken.
Der Clouddienst überwacht die Konfigurationen der einzelnen Infrastrukturkomponenten und sorgt automatisch dafür, dass sich kein "configuration drift" einschleicht. Auch eine integrierte Event-Ansicht über mehrere vCenter hinweg ist in der Cloudkonsole möglich. Für Tanzu-Kunden beinhaltet vSphere+ die "Tanzu Mission Control Essentials", womit auch DevOps-Organisationen eine vollständige Übersicht und Kontrolle über geografisch verteilte Container-Landschaften erhalten.
Die gesamte verwaltete Infrastruktur bleibt lokal, die Cloudkonsole und deren Dienste sind also lediglich eine funktionale Erweiterung. Der Preis dafür ist die Notwendigkeit, alle vorhandenen Lizenzen in Abonnements zu konvertieren und fortan in der Cloud zu verwalten. Der Funktionsumfang von vSphere+ entspricht dem von vSphere Enterprise Plus, und der von vSAN+ dem von vSAN Enterprise. Nur solche Lizenzen können Sie in Cloudlizenzen konvertieren – Standardlizenzen verfallen oder sind für die Teile der Infrastruktur weiter nutzbar, die nicht Teil des Cloudmanagements sind. Technisch muss die Infrastruktur mindestens auf dem Stand 7.0 Update 1 sein, um über den Cloud Gateway in die Cloudkonsole integriert zu werden. Über weitere Voraussetzungen und Möglichkeiten informiert Sie das Dokument "Häufig gestellte Fragen" [4].
Fazit
Mit vSphere 8 geht VMware keine wirklich neuen Wege, zeigt aber eindrucksvoll, dass Virtualisierung durchaus noch verbesserungsfähig ist. Der Fokus der neuen Version liegt klar auf Performance und Sicherheit, sowohl bei den Infrastrukturkomponenten als auch bei den VM- und Container-Workloads. Doch auch die Verwaltung des virtualisierten Rechenzentrums wurde noch einmal optimiert. Mit vSphere+ und vSAN+ rundet der Hersteller das Infrastrukturportfolio durch Cloudintegration ab, von der vor allem geografisch verteilte Umgebungen profitieren.
(jp)
Link-Codes