Первоначальная настройка vCenter и ESX(i)

Итак, у вас есть свежеустановленный сервер или серверы ESX(i) и vCenter. Вы установили  на свою рабочую станцию клиент vSphere и подключились к vCenter.  Типовой список действий для подготовки виртуальной инфраструктуры к полноценной работе выглядит  примерно так:

1.    Добавление серверов ESX(i) в консоль vCenter.

2.    Настройка лицензирования серверов ESX(i) и vCenter.

3.    При необходимости настройки некоторых служб Service Console, таких как firewall, ntp, SSH, syslog. А также настройки DNS и маршрутизации (шлюзов по умолчанию).

4.    Настройка сети. Это и настройка интерфейсов VMkernel, и настройка групп портов для виртуальных машин, и создание распределенных виртуальных коммутаторов.

5.    Настройка хранилищ.  Подключение систем хранения  данных, создание разделов VMFS, проверка корректного обнаружения уже существующих VMFS.

6.    Создание и настройка пулов ресурсов, кластеров HA и DRS.

Добавление серверов в консоль vCenter

Для  добавления  серверов  в консоль  vCenter необходимо,  чтобы в ней существовал объект типа «Datacenter». Такой объект суть папка для объектов всех прочих типов – серверов, кластеров, виртуальных машин, хранилищ, сетей и прочего. Таким образом, с помощью папок Datacenter вы можете сгруппировать части инфраструктуры. Это пригодится  в тех случаях, когда в вашей компании  существуют несколько  административных групп, управляющих независимыми виртуаль ными инфраструктурами. Все эти инфраструктуры управляются одним vCenter,  из одной консоли, но на уровне прав можно ограничивать области видимости  для разных пользователей.

Если у вас нет филиалов со своей инфраструктурой и администраторами, если у вас в компании  нет отдельного  отдела  безопасности,  который  сам  управляет  своими  ESX, или подобных вариантов  – то несколько  Datacenter вам не нужно. Но хотя бы один создать придется  – это требование vCenter.

Для  создания  вызовите  контекстное  меню для  корневого  объекта  иерархии vCenter – его самого и выберите  в нем пункт New Datacenter. Имя объекта выберите по своему усмотрению.

Теперь  в контекстном меню уже созданного  Datacenter выберите  пункт Add Host. В запустившемся мастере укажите имя или IP-адрес  сервера ESX(i), пользователя  root и его пароль. Предпочтительнее добавлять  серверы по имени, причем по полному доменному имени (FQDN). Пароль пользователя root необходим vCenter,  чтобы создать на этом ESX(i) своего собственного пользователя vpxuser, из-под которого в дальнейшем  vCenter и будет подключаться к этому ESX(i). Таким образом, последующая  смена пароля root на ESX(i) сервере не оказывает  на vCenter никакого влияния.

Настройка лицензирования

При  установке  ESX и vCenter вы можете  указать  ключ продукта.  А можете не указывать  – тогда эти продукты  начнут работать  в «Evaluation» (оценочном) режиме. Для ESXi это вообще является единственно  возможным вариантом  – на этапе его установки ключ ввести нельзя. Но после установки даже для бесплатной  версии ключ ввести необходимо.

Таким образом, если в вашей инфраструктуре есть объекты, для которых лицензия не была указана, то через 60 дней ознакомительная лицензия закончится и они работать перестанут.

vCenter лицензируется поштучно,  так что ключ для него должен содержать столько лицензий,  сколько серверов vCenter вы планируете использовать.  Обычно один.

ESX(i) лицензируется по процессорам,  и в ключе  должно  содержаться лицензий  на столько  процессоров  (сокетов), сколько  их совокупно  во всех ваших ESX(i). Разные  серверы  ESX(i) одной инфраструктуры могут лицензироваться разными ключами.

Для указания лицензии пройдите  Home ? Licensing. В этом окне вам необ-

ходимо добавить один или несколько ключей продукта. В каждом 25-символьном

ключе зашифровано, какие лицензии он содержит и на какое количество объектов. В типовом случае у вас есть сервер vCenter и несколько  серверов ESX(i) с лицензией какого-то одного типа. Значит, у вас будет минимум два ключа – для vCenter и для ESX(i).

Запустите мастер Manage vSphere Licenses и пройдите по шагам:

1.    Add License Keys – введите свои ключи здесь. Можно добавлять сразу несколько ключей, по одному в строку. Для каждого ключа можно ввести произвольную  метку (Label), для упрощения управления лицензиями.

2.    Assign Licenses – здесь вам покажут серверы vCenter и ESX(i) вашей инфраструктуры, и вы сможете указать, какой из них каким ключом необходимо отлицензировать.

3.    Remove License Keys – здесь вы можете удалить какие-то ключи.

Одновременно под управлением одного сервера vCenter могут находиться серверы ESX(i), лицензированные различными типами лицензий.  Если вы обновля ли какие-то лицензии, например со Standard на Enterprise Plus, то вам необходимо добавить новый ключ, указать его использование для серверов и удалить старый, если он стал не нужен. Если вы перевели  сервер с лицензии ознакомительной на какую-то из коммерческих с меньшим функционалом, то часть функций перестанет работать без предупреждения. Если сервер перестал быть лицензирован, например из-за окончания срока действия лицензии,  то на таком сервере перестанут включаться  виртуальные машины (хотя запущенные работать продолжат).

Рекомендуемые начальные настройки ESX(i)

Основные кандидаты  на настройку  из служб  ESX(i) – это Firewall  (только  в ESX), клиент NTP и, возможно, сервер SSH.

В версии  4.1 все это настраивается из графического  интерфейса.  Пройдите

Home ? Hosts and Clusters ? Configuration для настраиваемого сервера. В спи-

ске вас интересуют:

1.    Security Profile – для ESX это настройки firewall. Этот, основанный на iptables межсетевой экран работает в Service Console сервера ESX и защищает лишь ее. Обратите  внимание:  для настройки из командной  строки вам пригодится  команда esxcfg-firewall. Для централизованной настройки firewall вам пригодится  механизм Host  Profiles, см. посвященный ему раздел. Однако для ESXi пункт Security Profile позволяет  совсем другие настройки, о них см. чуть ниже.

2.    Time Configuration – в этом пункте  вы можете включить  клиент  NTP на ESX(i) и указать ему настойки синхронизации времени.

3.    Licensed features – здесь вы можете просмотреть  информацию о действующих для этого сервера лицензиях. Также здесь можно настраивать лицензирование сервера, однако если сервер управляется через vCenter и лицензирование для  этого сервера  уже настроено  через  vCenter,  то настройка, заданная на уровне сервера, будет отменена.

4.    DNS and Routing – здесь  можно  указать  имя  сервера,  суффикс  домена DNS, адреса серверов DNS и шлюзы по умолчанию  для Service Console  и VMkernel.

5.    Virtual Machine Startup and Shutdown – здесь настраиваются автозапуск виртуальных машин при включении  сервера, порядок их включения и паузы между включениями разных  ВМ. Также  здесь можно  указать,  что делать с виртуальными машинами,  когда сам сервер выключается.  Вариан ты – корректное  выключение, принудительное выключение,  приостановка (Suspend).

6.    Authentication Services – настройка аутентификации на ESX(i) при помощи учетных записей  из Active Directory. Подробности см. в посвященной безопасности  главе.

Пункт  Security Profile для  ESXi  4.1 довольно  многофункциональный  (см.

рис. 1.16).

Здесь вы сможете включить или выключить  такие функции,  как:

Q  Local Tech Support – доступность  локальной командной  строки в консоли  ESXi;

Рис. 1.16. Настройки Security Profile для ESXi 4.1

Q  Remote Tech Support – включение и отключение сервера SSH на ESXi;

Q  Direct Console UI – включение и отключение БИОС-подобного меню в локальной консоли ESXi.

Из настроек SSH для сервера ESX вам может потребоваться отменить запрет на вход под пользователем root.

По умолчанию  этот запрет  действует,  рекомендуется поступать следующим образом:

1.    Авторизоваться под  непривилегированной учетной  записью  (ее  можно создать на этапе установки  или впоследствии – из локальной командной  строки или клиента vSphere при подключении напрямую).

2.    При необходимости повысить свои привилегии до root командой

su  –

обратите  внимание  на минус  через  пробел.  Без  него не будет  загружена  переменная  PATH,  что потребует прописывания полного пути для запуска любой команды.

Либо же выполнять все команды, требующие повышенных  привилегий, дописывая перед ними «sudo». Последний вариант считается наиболее безопасным, но потребует дополнительной настройки.

Однако использовать учетные записи пользователя root непосредственно при установке сессии SSH может все-таки оказаться совершенно необходимо. Напри мер, для использования некоторых сторонних  инструментов, которым  требуется  удаленный  доступ к серверу с полными правами и разработчики которых несильно задавались проблемами соответствия требованиям безопасности.

Для  разрешения аутентификации сразу  под пользователем root  на  ESX  откройте в текстовом редакторе файл настроек SSH следующей командой:

nano –w  /etc/ssh/sshd_config

В строке

Permit  root   login no

поменяйте  «no» на «yes».

Перезагрузите службу SSH:

service sshd  restart

Теперь вы можете подключаться к ESX по SSH пользователем root.

Для ESXi такой настройки нет, но для ESXi существует настройка Lockdown  Mode, обладающая схожим предназначением.

Возвращаясь к базовым настройкам  серверов ESX(i):  пройдите Configuration

? Storage. В этом окне отображаются разделы, отформатированные в VMFS. Ско-

рее всего, здесь вы увидите  раздел  под названием  Local1 или Storage1  – он был

создан установщиком. Рекомендую переименовать этот раздел, например, так: «lo-

cal_esx1». В дальнейшем это сильно поможет вам ориентироваться в сводных списках разделов VMFS в интерфейсе  vCenter.  Напоминаю, что в названиях лучше не использовать пробелы и спецсимволы, имена вида «local@esx1» – это плохая идея.

Когда на ваших серверах уже созданы виртуальные машины, имеет смысл про-

думанно настроить порядок их автозапуска для служб и приложений, которые зависят  друг от друга. Например, вот так: сначала  ВМ с AD и DNS, затем СУБД,  потом уже vCenter (если он установлен  в ВМ). Однако если у вас будут использо ваться кластеры  HA и/или DRS, настройка  автостарта лишается смысла, так как она выполняется для ВМ конкретного сервера – а в кластерах ВМ не привязаны к конкретному серверу.

В небольших внедрениях  я предпочитаю  в файл /etc/hosts на каждом сервере прописывать адреса всех остальных  серверов  ESX(i) и vCenter.  Это служит  для локального разрешения имен на случай возникновения проблем с DNS – впрочем, поступать  ли таким образом, каждый  сможет решить  сам – конечно, лучше обеспечить бесперебойную  работу DNS.

Для  ESXi вы можете включить  так называемый Lockdown-режим, режим локальной блокировки (Configuration ? Security Profile). VMware рекомендует  сде-

лать это для тех ESXi, которые управляются через vCenter.  Включение этого режима будет препятствовать любому обращению  на ESXi по сети с учетной записью root. То есть если включить этот режим, то, используя учетную запись root, вы не сможете обратиться на ESXi даже клиентом vSphere. Это хорошо, потому что даже по ошибке вы и ваши коллеги доступа на ESXi из-под привилегированной учетной записи не получите.

Это может быть плохо в случае недоступности vCenter, когда все-таки возникнет необходимость  подключиться к ESXi напрямую.  Например, чтобы включить  виртуальную машину с vCenter.  Есть три варианта решения такой потенциальной проблемы:

Q  до включения режима  Lockdown  подключиться клиентом  vSphere напрямую на ESXi, пройти  на закладку  Users and Groups и создать произвольного пользователя. Назначить ему необходимые  права. Или ввести  ESXi в Active Directory, и получить возможность авторизоваться локально пользователем  AD. В дальнейшем  подключаться на ESXi по сети из-под учетной записи уже этого пользователя. Сделать это следует для каждого ESXi;

Q  выключить  Lockdown-режим с его локальной консоли;

Q  не включать Lockdown-режим.

Обратите  внимание  на то, что включение  режима Lockdown  оказывает влияние на подключение из-под учетной записи root с помощью клиента vSphere, PowerCLI, vSphere CLI, vMA, vSphere API.

Прочие упомянутые мной в начале раздела настройки – сети, системы хранения – подробно разбираются в соответствующих разделах позже.

1.4.2. Работа через веб-интерфейс

Обратите  внимание:  на ESX  и vCenter работает  веб-интерфейс для  работы с виртуальными машинами.  Для  доступа  к нему обратитесь  браузером на адрес vCenter или ESX и выберите ссылку Log in to Web Access (рис. 1.17).

Рис. 1.17. Вход в веб-интерфейс vCenter

Авторизуйтесь соответствующей учетной  записью  (учетная  запись Windows для vCenter и учетная запись Service Console для ESX).

Веб-интерфейс vSphere 4 можно назвать инструментом оператора. Он не дает доступа  ни к каким  задачам  администрирования vSphere,  но  дает  практически полный доступ к работе с виртуальными машинами.  С помощью веб-интерфейса вы можете:

Q  получать  доступ  к операциям с виртуальными машинами  без  установки

клиента vSphere;

Q  создавать новые ВМ;

Q  изменять  настройки существующих ВМ;

Q  добавлять ВМ в консоль ESX или vCenter (add to inventory);

Q  удалять ВМ из консоли ESX или vCenter;

Q  включать,  выключать,  перезагружать виртуальные машины, а также останавливать (suspend) и возобновлять их работу;

Q  отслеживать события и выполняемые действия;

Q  получать доступ к консоли виртуальных машин;

Q  генерировать уникальную ссылку для получения прямого доступа к консоли ВМ, минуя прочие элементы веб-интерфейса;

Q  создавать  и выполнять все прочие действия,  со снимками  состояния виртуальных машин;

Q  подключать к ВМ устройства  CD/DVD клиентских компьютеров.

Все эти манипуляции могут быть осуществлены из систем с Windows и с Linux, с использованием поддерживаемых версий браузеров.

Источник: Михеев М. О.  Администрирование VMware vSphere 4.1. – М.: ДМК Пресс, 2011. – 448 с.: ил.

Похожие посты:

Вы можете оставить комментарий, или ссылку на Ваш сайт.

Оставить комментарий