Виртуальный дата-центр (virtual datacenter, VDC) – это совокупность ваших облачных ресурсов (ядра процессора, оперативная память, место на диске, сети и т.д.), доступных вам в рамках одной учетной записи. Это пул, в рамках которого вы будете создавать виртуальные машины, контейнеры, сети и пр. Вы можете увеличивать его размеры по мере необходимости, докупая нужные ресурсы (процессоры, память или диски).
vApp – это контейнер, в котором размещаются виртуальные машины. Его можно создать пустым или сразу с виртуальными машинами. Благодаря контейнерам группой виртуальных машин можно управлять как одной единицей. Это особенно удобно, если вы управляете большой виртуальной инфраструктурой. На основе vApp можно создавать шаблоны. Если у вас есть необходимость периодически создавать однотипные группы виртуальных машин, то это свойство vApp позволит вам сэкономить время. vCloud Director также предоставляет возможность создавать отдельные сети на уровне vApp, позволяя обеспечивать дополнительную изоляцию между разными vApp. vApp можно использовать для группировки виртуальных машин, относящихся к одному бизнес-приложению.
Виртуальные машины (VM) можно создавать из шаблонов в каталоге (сразу с ОС) или с нуля, устанавливая нужную ОС из загруженного шаблона или образа.
Каталоги (Catalogs) – это папки, в которых можно хранить шаблоны vApp, виртуальных машин и медиа-файлов в формате ISO.
Сеть уровня организации (Org VDC Networks) – это сеть вашего виртуального дата-центра, доступная по умолчанию для всех vApp. Сеть уровня организации может быть изолированной (isolated, без выхода в Интернет) и маршрутизируемой (routed, с выходом в Интернет). При необходимости вы также можете заказать прямую (direct) сеть для обеспечения связности с физическим оборудованием или между вашими виртуальными дата-центрами.
Помимо сети уровня организации, которая доступна для всех vApp, вы можете создать сеть уровня vApp. По этой сети будут взаимодействовать виртуальные машины только данного vApp, для виртуальных машин из других vApp она не будет доступна. Сеть уровня vApp можно подсоединить к сети уровня организации, тем самым позволив данному vApp взаимодействовать с другими vApp организации или за ее пределами.
Виртуальный маршрутизатор (NSX Edge Gateway) – это служебная виртуальная машина, выполняющая функцию граничного маршрутизатора вашей виртуальной инфраструктуры. С его помощью обеспечивается выход в интернет, построение VPN-туннелей, настраивается функционал межсетевого экранирования, трансляции адресов, балансировщика нагрузки и т.д.
Дисковые ресурсы (Storage policies) – в зависимости от прогнозируемой нагрузки на СХД можно выбрать тип дисковых ресурсов, на которых будут располагаться данные ваших виртуальных машин.
Управлять каждой машиной в отдельности можно в разделе Virtual Machines во вкладке Compute. Выберите нужную вам ВМ и нажмите кнопку Actions.
Suspend – приостановка ВМ. При этом сохраняется содержимое оперативной памяти, но ВМ останавливает свой ввод-вывод и перестает выполнять процессорные инструкции.
В разделе Compute в пункте Virtual Machines выбираем необходимую и нажимаем Details.
Открывается окно с четырьмя основными вкладками: General, Hardware, Guest OS Customization, Advanced. Рассмотрим каждую из них подробнее. В инструкции будут описаны только те опции, которые вы сможете редактировать самостоятельно.
Hard Disks
NICs
Параметры вкладки Guest OS Customization
Параметры вкладки Advanced позволяют создать дополнительные параметры ВМ, например, для создания сценариев автоматизации. Также тут определяются параметры управления конкуренцией за ресурсы CPU и RAM, однако данный функционал недоступен для пользователей в нашей инфраструктуре.
В главном меню
выбираем пункт Administration.
Переходим в
раздел Users и нажимаем кнопку ADD.
В появившемся окне
заполняем поля и нажимаем кнопку Save:
vCloud Director позволяет настраивать и управлять правами доступа пользователей к облачным ресурсам. Выбрать нужную роль можно при создании нового пользователя.
Важно: для импорта образа необходимо сначала создать каталог, в который будет помещен данный образ.
К данной сети можно подключить все создаваемые виртуальные машины и vApp виртуального дата-центра.
I. Зайдите в раздел Networking, выберите пункт Networks, затем нажмите кнопку ADD.
II. Откроется диалоговое окно создания сети. Выбранные настройки будут применяться к виртуальным машинам при кастомизации.
DNS. Заполняем настройки DNS серверов и DNS суффикса.
Ready to Complete. Убеждаемся, что все параметры введены верно, и нажимаем кнопку FINISH.
Через некоторое время сеть будет создана. Чтобы предоставить ВМ доступ к интернету с помощью NSX Edge, необходимо настроить правила NAT и Firewall.
Edge Gateway — пограничный маршрутизатор тенанта, техническая реализация VMware NSX. Он позволяет:
создавать внутренние сети;
подключаться к внешним сетям, используя публичный IP-адрес;
настраивать Firewall, NAT, DHCP, Load Balancing, IPSec VPN, SSL L2 VPN, SSL L3 VPN.
В каждом новом виртуальном ЦОД создается один основной Edge Gateway с публичным IP-адресом.
Для виртуализации сетей используются NSX-V или NSX-T.
NSX-V (NSX for vSphere) — платформа сетевой виртуализации для инфраструктур на основе vSphere.
NSX-T — платформа сетевой виртуализации для приложений нового поколения, основанных на гетерогенной архитектуре.
Зайдите в раздел Networking, пункт Edges. Выберите необходимый Edge. В поле внизу отобразятся основные параметры:
NSX Edge – это элемент vCloud Director, созданный для защиты периметра виртуального дата-центра. NSX Edge сочетает в себе несколько сервисов: Firewall, DHCP, VPN-туннелирование, NAT и балансировку нагрузки.
Для настройки сервисов NSX Edge зайдите в раздел Networking, пункт Edges. Выберите необходимый Edge и нажмите кнопку Services.
В появившемся окне можно настроить все сервисы vShield Edge.
Зайдите в раздел Networking, пункт Edges. Выберите необходимый Edge. В разделе Sub-allocated IP Addresses вы можете увидеть внешний IP-адрес или их диапазон.
Чаще всего IPSec используется для создания защищенного туннеля, например, между сетью главного офиса и сетью на удаленной площадке или в облаке.
Зайдите в раздел Networking, пункт Edges. Выберите необходимый Edge и нажмите кнопку Configure services.
В интерфейсе NSX Edge переходим во вкладку VPN, далее заходим во вкладку IPsec VPN, затем – в раздел IPsec VPN Sites и жмем +, чтобы добавить новую площадку.
Заполняем необходимые поля:
Enabled – активирует удаленную площадку.
PFS – гарантирует, что каждый новый криптографический ключ не связан с любым предыдущим ключом.
Local ID и Local Endpoint – внешний адрес NSX Edge.
Local Subnets – локальные сети, которые будет использовать IPsec VPN.
Peer ID и Peer Endpoint – внешний адрес удаленной площадки.
Peer Subnets – сети, которые будут использовать IPsec VPN на удаленной стороне.
Encryption Algorithm – алгоритм шифрования туннеля.
Authentication – как мы будем аутентифицировать пир. Можно использовать Pre-Shared Key либо сертификат.
Pre-Shared Key – указываем ключ, который будет использоваться для аутентификации и должен совпадать с обеих сторон.
Diffie-Hellman Group – алгоритм обмена ключами.
После заполнения необходимых полей нажимаем Keep.
Сохраняем изменения.
Готово.
После добавления площадки переходим на вкладку Activation Status и активируем IPsec Service. После этого сохраняем изменения, нажав Save changes.
После того, как настройки будут применены, переходим во вкладку Statistics —> IPsec VPN и проверяем статус туннеля. Видим, что туннель поднялся.
Проверим работу туннеля из виртуальной машины:
Все готово, site-to-site IPsec VPN настроен и работает.
В этом примере мы использовали PSK для аутентификации пира, но возможен также вариант с аутентификацией по сертификатам. Для этого нужно перейти во вкладку Global Configuration, включить аутентификацию по сертификатам и выбрать сам сертификат.
Кроме того, в настройках сайта необходимо будет поменять метод аутентификации.
Отмечу, что количество IPsec-туннелей зависит от форм-фактора развернутого Edge Gateway.
SSL VPN-Plus – один из вариантов Remote Access VPN. Он позволяет удаленным пользователям безопасно подключаться к частным сетям, находящимся за шлюзом NSX Edge. Зашифрованный туннель в случае SSL VPN-plus устанавливается между клиентом (Windows, Linux, Mac) и NSX Edge.
Зайдите в раздел Networking, пункт Edges. Выберите необходимый Edge и нажмите Configure services.
Перейдите на вкладку SSL VPN-Plus, затем в Authentication и нажмите +. Для аутентификации используйте локальный сервер на самом NSX Edge.
Выберите политики для генерирования новых паролей и настройте опции по блокировке пользовательских аккаунтов (например, количество повторных попыток при неправильном вводе пароля).
После настройки всех параметров нажмите Keep. У вас настроен локальный сервер аутентификации.
Здесь же можете изменить сертификат, который будет использовать сервер.
Включите сервер и не забудьте сохранить настройки.
Далее необходимо настроить пул адресов, которые вы будете выдавать клиентам при подключении. Эта сеть отделена от любой подсети в вашей среде NSX, ее не нужно настраивать на других устройствах в физических сетях, за исключением маршрутов, которые на нее указывают.
Перейдите во вкладку IP Pools и нажмите +.
Выберите адреса, маску подсети и шлюз. Здесь же можно изменить настройки для DNS- и WINS-серверов.
Так выглядит получившийся пул.
Теперь добавьте сети, доступ к которым будет у подключающихся к VPN пользователей. Перейдите во вкладку Private Networks и нажмите +.
Заполните:
Network – локальную сеть для доступа удаленных пользователей.
Send traffic – выберите вариант отправки трафика к сети:
over tunnel – через туннель,
bypass tunnel – напрямую в обход туннеля.
Enable TCP Optimization – галкой включите оптимизацию, если выбрали вариант over tunnel. Здесь можно указать номера портов, для которых необходимо оптимизировать трафик. Трафик для оставшихся портов этой сети не будет оптимизирован. Если номера портов не указаны, трафик для всех портов оптимизируется.
Сохраните настройки.
Используется локальная аутентификация, так что необходимо создать пользователей.
Здесь задаете базовые вещи вроде имени и пароля. Дополнительно можете запретить пользователю изменять пароль или, наоборот, разрешите задать смену пароля при следующем входе.
После добавления всех пользователей перейдите на вкладку Installation Packages. Кнопкой + создайте инсталлятор, который скачает для установки удаленный сотрудник.
Нажмите +. Выберите адрес и порт сервера, к которому будет подключаться клиент, и платформы, для которых нужно сгенерировать установочный пакет.
Ниже в этом окне укажите параметры клиента для Windows. Выберите:
start client on logon – VPN-клиент будет добавлен в автозагрузку на удаленной машине;
create desktop icon – создаст иконку VPN-клиента на рабочем столе;
server security certificate validation – будет валидировать сертификат сервера при подключении.
Настройка сервера завершена.
Теперь скачайте созданный вами установочный пакет на удаленный ПК. При настройке сервера вы указали его внешний адрес (например, 185.148.83.99) и порт (668). По этому адресу необходимо перейти в веб-браузере. В нашем примере это https://185.148.83.99:668.
В окне авторизации вводим учетные данные пользователя, которого мы создали.
После авторизации появляется список установочных пакетов, доступных для загрузки. В примере создан только один – его и скачайте.
Кликните по ссылке, начнется скачивание клиента.
Распакуйте скачанный архив и запустите инсталлятор.
После установки запустите клиента, в окне авторизации нажмите Login.
В окне проверки сертификата выберите Yes.
Введите учетные данные для созданного пользователя и увидите, что подключение завершено успешно.
Проверьте статистику VPN-клиента на локальном компьютере.
В командной строке Windows (ipconfig /all) видим, что появился дополнительный виртуальный адаптер, и есть связность с удаленной сетью ,и все работает:
Откройте консоль управления vCloud Director. Войдите в систему в качестве администратора организации. В консоли управления vCloud перейдите в ваш vDC, в левом меню выберите Edges, укажите ваш Edge Gateway и нажмите кнопку Configure Services.
Откроется новое окно. Перейдите во вкладку NAT.
По умолчанию после создания организации в вашем Edge Gateway будет присутствовать одно правило – SNAT. Оно обеспечивает доступ виртуальных машин в интернет.
Откроется новое окно, в котором необходимо указать следующие поля:
Applied On: Указываем внешнюю сеть, в данном случае - Cloud.3919.External.IX
Original IP/Range: Внешний адрес Edge Gateway, можно узнать из SNAT правила – 92.ххх.ххх.ххх
Protocol: для WEB сервисов - TCP
Original Port: порт для внешнего IP Edge Gateway - 80
Translated IP/Range: локальный IP адрес виртуальной машины с WEB сервисом – 192.168.3.5
Translated Port: порт для локального IP адреса виртуальной машины - 80
Enabled: переключатель включающий и выключающий правило.
После нажмите кнопку KEEP, и новое правило будет добавлено в список.
Для применения и сохранения настроек необходимо нажать кнопку Save Changes:
Нестандартный внешний порт для RDP не гарантирует 100% защиту от взлома по этому протоколу, но отсеет большую часть ботов, сканирующих только стандартные порты и их вариации.
VMware OVF Tool – продукт для импорта и экспорта файлов формата .ovf из программ разработчика VMware. Программа используется для преобразования файлов формата .vmx в .ovf в целях создания виртуальных модулей из виртуальных машин.
Первый шаг – загрузка продукта из официального источника. https://code.vmware.com/web/tool/4.4.0/ovf В установщике программы выберите нужную версию.
Зайти в VDC и создать новый vApp. Зайти на вкладку vApp и нажать кнопку «New vApp»
Дать имя vApp и описание и нажать кнопку «Create»
Выбрать VM, которую необходимо перенести в vApp и нажать кнопку «Actions – Move to»
Выбрать vApp, в который необходимо поместить VM
Указать параметры хранилища и сети
Нажать кнопку «Done» для завершения
Для выгрузки OVF-файла необходимо запустить команду
ovftool.exe "vcloud://admin_name:password@vcd.provider.kz/cloud?org=company_name&vdc=VDC_company_name&vapp=vApp_name" e:/_test_ovf/
При четком следовании инструкции по установке, процесс миграции виртуальной машины VMware осуществится успешно.
VMware OVF Tool – продукт для импорта и экспорта файлов формата .ovf из программ разработчика VMware. Программа используется для преобразования файлов формата .vmx в .ovf в целях создания виртуальных модулей из виртуальных машин.
Первый шаг – загрузка продукта из официального источника. https://code.vmware.com/web/tool/4.4.0/ovf В установщике программы выберите нужную версию.
ovftool.exe vi://vCenterName.DomainName.local/DataCenterName/vm/VirtualMachineName DriveNamePathName/OvaFileName.ova
Необходимо указать имена vCenter, имя DataCenter, имя VirtualMachine, Имя диска и каталог куда будет скопирован образ OVA.
Перед выгрузкой необходимо отключить ISO-файлы от VM.
Оригинал статьи http://www.vmwarearena.com/export-vm-to-ova-or-ovf-using-ovf-tool/
Для настройки vCloud Availability необходимо выбрать соотвествующий пункт меню в вашем VDC
Выбрать необходимый вид синхронизации, в данном случае "to Cloud"
Выбрать необходимый пункт защиты, в данном случае "New migration"
Указать данные входа для удалённого VDC в формате "имя пользователя@наименование организации" (данные получаете у провайдера, поставщика услуги)
Выбрать необходимые VM
Указать данные принимающей стороны: VDC, Storage Policy
Проверить данные и нажать "Finish"
После настройки начнётся синхронизация между VDC
Способ 1. Virtual Hardware Version уменьшаем загрузкой через vSphere Clientна рабочий компьютер, VMware ESXi уведомляем методом удаления/добавления в инвентарь.
1 Выключите виртуальную машину, если она включена;
2 Удалите виртуальную машину из инвентаря хоста используя команду Remove from Inventory;
3 Используя vSphere Client загрузите <machine_name>.vmx к себе на компьютер.
4 Найдите в загруженном файле строку virtualHW.version = «10» (обычно третья), и исправьте10 на 9;
5 Загрузите измененный файл обратно используя vSphere Client;
6 Добавьте виртуальную машину в инвентарь и запустите при необходимости.
Способ 2. Virtual Hardware Version уменьшаем через SSH, VMware ESXiуведомляем методом его перезагрузки.
1 Выключите все виртуальные машины на хосте;
2 Подключитесь к хосту через SSH;
3 Для каждой виртуальной машины выполните:
A Используя SSH подключение выполните:
cd
/vmfs/volumes/
<datastore_name>/<machine_name>
vi
<machine_name>.vmx
B Найдите строку virtualHW.version = «10» (обычно третья), и исправьте 10 на 9;
C Сохраните файл.
4 Перезагрузите VMware ESXi.
Правила Affinity и Anti-Affinity позволяют размещать набор VM на разных или на одном хосте гипервизора в зависимости от требований.
Affinity Rule – помещает выбранные виртуальные машины на один хост виртуализации.
Этот вариант может быть использован для виртуальных машин требующих предельно высокую скорость передачи данных по сети между друг другом. Трафик не будет выходить за пределы одного хоста виртуализации, что обеспечит максимальную сетевую производительность.
Внимание! Добавление в Affinity Rule высоконагруженных машин с большим потреблением CPU и RAM (либо добавление всех машин вашей подписки) может негативным образом отразиться на их производительности, так как они будут делить ресурсы одного хоста. Так же не стоит добавлять в Affinity Rule виртуальные машины, обеспечивающие балансировку и отказоустойчивость одного сервиса (ноды одного кластера).
Anti-Affinity Rule – размещает выбранные виртуальные машины на разные хосты виртуализации.
Этот вариант используется для обеспечения максимальной отказоустойчивости сервиса, настроенного в рамках кластера из нескольких виртуальных машин.
Правила Affinity и Anti-Affinity могут быть:
required (обязательные) — VM подчиняются правилу, если для его выполнения есть ресурсы;
preferred (предпочтительные) — VM подчиняются правилу, если оно не противоречит другим факторам.
Чтобы создать правило Affinity:
В разделе Data Centers нажмите на карточку виртуального ЦОД и в меню слева выберите Affinity Rules.
В списке Affinity Rules нажмите NEW.
Заполните параметры:
Name — название правила.
Enable — включить или отключить правило. Если убрать флаг, правило не активируется после того, как вы его создадите.
Required — включить или отключить обязательное выполнение правила.
Выберите VM, к которым будет применяться правило.
Нажмите SAVE.
Если на платформе выполняется другая задача, например миграция VM, правило Affinity применится после завершения активной задачи.
Чтобы создать правило Anti-Affinity:
В разделе Data Centers нажмите на карточку виртуального ЦОД и в меню слева выберите Affinity Rules.
В списке Anti-Affinity нажмите NEW.
Заполните параметры:
Name — название правила.
Enable — включить или отключить правило. Если убрать флаг, правило не активируется после того, как вы его создадите.
Required — включить или отключить обязательное выполнение правила.
Выберите VM, к которым будет применяться правило.
Нажмите SAVE.
Почему при создании виртуальной машины из жесткого диска берется место, равное размеру оперативной памяти ВМ?
Подскажите, пожалуйста, почему при создании виртуальной машины в vCloud Director из жесткого диска берется место, равное размеру оперативной памяти ВМ?
Значит ли это, что оперативная память берется из жесткого диска?
Вероятно вы имеет ввиду что при создании виртуальной машины на датасторе занимается место, которое равно размеру сконфигурированной оперативной памяти для ВМ.
Это место занимает swap файл (расширение файла .vswp )
Подробнее почитайте в документации:
Почему я не могу выделить всю, выделенную для VDC RAM для виртуальных серверов? Для VDC выделено 16 Gb RAM, одной vm выделено 8 Gb, второй выделяю, оставшиеся 8 Gb, выдаёт ошибку.
Понятие накладных расходов на RAM
Виртуальным машинам для включения требуется определенный объем доступной служебной памяти. Вы должны знать размер этих накладных расходов.
В следующей таблице указан объем служебной памяти, необходимой виртуальной машине для включения. После запуска виртуальной машины объем используемой служебной памяти может отличаться от объема, указанного в таблице. Образцы значений были собраны с включенной подкачкой VMX и включенным аппаратным MMU для виртуальной машины. (Своп VMX включен по умолчанию.)
Примечание:
В таблице представлен образец значений служебной памяти и не делается попытка предоставить информацию обо всех возможных конфигурациях. Вы можете настроить виртуальную машину так, чтобы она имела до 64 виртуальных процессоров, в зависимости от количества лицензированных процессоров на хосте и количества процессоров, поддерживаемых гостевой операционной системой.
Пример служебной памяти на виртуальных машинах