CHICHU's paper

《云计算与虚拟化技术》数据中心总结说明

ftc

1.数据中心规划

数据中心共有三台ESXi节点、一台vCenter Server

每台ESXi节点配置为

内存核心数储存网卡
6GB440GB 系统盘、30GB vSAN缓存层、100GB vSAN容量层2*VMNET3

命名、IP

名称IP网关
A-202118101-ESXi-NODE-1172.16.125.67172.16.125.1
A-202118101-ESXi-NODE-2172.16.125.68
A-202118101-ESXi-NODE-3172.16.125.69
A-202118101-vCSA172.16.125.70
A-202118101-NFS172.16.125.71
A-202118101-vRealize-Operations172.16.125.72
A-202118101-vRealize-Log-Insight172.16.125.73

权限规划

名称账户、密码
A-202118101-ESXi-NODE-1rootasd0000*
A-202118101-ESXi-NODE-2
A-202118101-ESXi-NODE-3
A-202118101-vCSAadministrator@A1.localasd0000*A
A-202118101-NFSroot0000
A-202118101-vRealize-Operationsadminclass#cloud#A01
A-202118101-vRealize-Log-Insightadminclass#cloud#A01

2.数据中心建设

(1)概述建设目的

vCenter Server Appliance 的核心作用是集中管理和优化资源。

  • 集中管理:vCenter Server 提供了统一的管理界面,可以集中管理多个 ESXi 主机和虚拟机,实现资源的统一调度和分配。
  • 高效利用资源:通过 vCenter Server,可以实现计算、存储和网络资源的优化配置,提高硬件资源的利用率,减少浪费。

现代化的数据中心建设,尤其是在虚拟化环境下,依赖于对多个 ESXi 节点的有效部署和管理。

  • 资源池化:将多个物理服务器(ESXi 节点)合并为一个统一的资源池,提供给虚拟机动态分配,提高资源利用率。
  • 负载均衡:通过集群技术,实现虚拟机的负载均衡,防止单个服务器过载,确保高性能和高可靠性。
  • 快速扩展:增加新的 ESXi 节点可以轻松扩展计算资源,满足业务增长需求,提升数据中心的灵活性。

(2)描述实验结果

ESXi

本次实验中成功部署了三台 ESXi 主机,分别命名为A-202118101-ESXi-NODE-1、A-202118101-ESXi-NODE-2、A-202118101-ESXi-NODE-3。

  • 每台主机配置了4核 CPU,6GB 内存。SCSI 控制器:40GB 系统盘、100GB vSAN容量层,NVMe控制器:30GB vSAN缓存层。
  • 网络配置为双网卡,配置了冗余的网络连接,确保高可用性。
  • 所有主机均安装了 VMware ESXi 6.7 版本。
  • 设置了静态 IP 地址、DNS 和 NTP 服务器,确保网络连接稳定和时间同步。

vCenter Server Appliance

vCSA 作为虚拟机部署在集群上,版本为6.7.0。

  • 部署大小为“微型”,分配4 vCPU、10GB 内存、300GB 储存。
  • 为 vCSA 配置了静态 IP 地址、DNS 和 NTP 服务,确保网络的稳定和时间同步。
  • 配置了 vCenter SSO,创建了管理员账户。

集群配置情况

  • 创建了名为“A1”的集群。
  • 将三台ESXi节点添加入了数据中心,成功实现资源池化管理。
  • 为主机分配评了可用的许可证,配置了NTP服务器、启用了锁定模式。
  • 启用了分布式资源调度(DRS),设置为自动化级别,确保资源的负载均衡和优化。
  • 启用了集群高可用性(HA)功能,配置了故障主机自动重启机制,确保业务的连续性。设置了故障切换的心跳网络,增强了集群的可靠性。

存储构建情况

构建 NFS

创建了一台 CentOS Steam 9 虚拟机,1 vCPU、2GB 内存、一块20GB系统盘、一块100GB容量盘,作为NFS使用。命名为A-202118101-NFS。

实现 vSAN

在三个ESXi节点组成的集群上实现vSAN,将主机节点上的“Local NVMe Disk”作为vSAN数据存储的缓存、“Local VMware Disk”作为vSAN数据存储的容量,将“Local NVMe Disk”声明目标设置为“缓存层”、驱动器类型为“闪存”,将“Local VMware Disk”声明设置为“容量层”、驱动器类型为“HDD” 。

3.数据中心应用

(1)虚拟机的创建和管理

1.向数据中心上载虚拟机镜像,这里以Ubuntu 24.04 LTS为例

2.在集群上新建虚拟机

  • 弹出“新建虚拟机”向导框,在向导“1 选择创建类型”中选择“创建新虚拟机”;
  • 在向导“2 选择名称和文件夹”中为虚拟机输入虚拟机名称为“A-202118101-ubuntu”,选择位置为“A1”;
  • 在向导“3 选择计算资源”中为此操作选择计算资源为“A1”;
  • 在向导“4 选择存储”中为此操作选择用于配置文件和磁盘文件的存储为“A1-vSAN”;
  • 在向导“5 选择兼容性”中根据环境中的主机为此虚拟机选择兼容性;
  • 在向导“6 选择客户机操作系统”中选择将在虚拟机上安装的客户机操作系统;
  • 在向导“7 自定义硬件”中按照虚拟机配置信息为虚拟机配置硬件,此处选择CPU 1核、内存2GB、新硬盘1为20GB,新网络选择“VM-Network”、新的CD/DVD 驱动器为“数据存储ISO文件”,选择 ubuntu-24.04-live-server-amd64.iso。

在 vSphere Web Client 控制台中,启动A-202118101-ubuntu,打开VMRC,安装系统。

3.虚拟机的克隆

  • 选中上述虚拟机右击,关闭虚拟机操作系统,选择“克隆”-“克隆到虚拟机”,弹出“克隆虚拟机”向导框,在向导“1 选择名称和文件夹”中指定虚拟机名称为“A-202118101-ubuntu-Clone”,选择位置“A1”。
  • 在向导“2 选择计算资源”中为此操作选择目标计算资源为集群“A1”。
  • 在向导“3 选择存储”中选择虚拟机存储策略为“数据存储默认值”,用于配置文件和磁盘文件的存储为“A1-vSAN”。
  • 在向导“4 选择克隆选项”中选择其他克隆选项,这里使用默认选项。
  • 选中上述虚拟机右击,选择“克隆”-“克隆到模板”,弹出将虚拟机克隆为模板向导框,根据向导完成虚拟机克隆为模板操作。

修改虚拟机配置

虚拟机的迁移

  • 选中上述虚拟机右击,选择“迁移”,弹出“迁移”向导框,在向导“1 选择迁移类型”中更改虚拟机的计算资源(或)存储为“仅更改计算存储”;
  • 在向导“2 选择计算资源”中选择群集、主机来运行虚拟机为主机节点“172.16.125.68”;

(2)使用模板、 资源池、vApp、内容库

转换虚拟机为模板

使用模板

资源池是一种管理和分配集群资源的方法,可以在不同工作负载之间实现资源的隔离和灵活分配。

  • 在 vSphere Web Client 中,选择目标集群,右键选择“新建资源池”。
  • 输入资源池名称,设置 CPU 和内存的共享、保留和限制。
  • 将虚拟机拖动到相应的资源池中。

vApp 是一种逻辑容器,可以包含一个或多个虚拟机,常用于部署和管理复杂的多虚拟机应用环境,设计哲学类似docker-compose。

创建 vApp

  • 在 vSphere Web Client 中,选择目标数据中心或集群,右键选择“新建 vApp”。
  • 输入 vApp 的名称(如“Web Application vApp”),并选择存放位置。
  • 将现有的虚拟机拖动到 vApp 中,或者在 vApp 中创建新的虚拟机。
  • 配置 vApp 中各虚拟机的启动顺序和启动延迟,确保应用程序的依赖关系得到满足。

同样,对于vAPP也可以进行克隆等操作

内容库 是 vSphere 中的一个集中管理和分发虚拟机模板、ISO 文件和其他文件的工具,便于标准化和自动化部署。

  • 在 vSphere Web Client 中,选择“内容库”,点击“新建内容库”。
  • 输入内容库名称(如“Corporate Templates”),选择内容库类型(本地或订阅),并配置存储位置。
  • 在内容库中,点击“上传”按钮,将虚拟机模板、ISO 文件和其他文件上传到内容库。
  • 在内容库中选择一个虚拟机模板,点击“部署”按钮,开始创建新的虚拟机。

4.数据中心运维

数据中心的运维是确保其稳定、高效运行的关键环节。通过使用 VMware vRealize Operations 和 vRealize Log Insight,可以有效监控数据中心环境、进行故障排除、管理日志数据等,从而提高数据中心的运维效率和安全性。

(1)vRealize Operations

  1. 在“仪表板”菜单中选择“仪表板”选项卡中“入门”,单击“清单”,单击“vSphere存储”,查看数据中心存储与集群、主机之间的联系和存储的详细状态;
  2. 选择“入门”界面“操作”单击【运维概览】,选中数据中心“A1”,查看环境摘要、其所有群集的累计正常运行时间、警示量;
  3. 选择“入门”界面“容量和利用率”,单击“集群利用率”,选中“A1”集群,查看CPU需求百分比趋势、内存使用百分比趋势和磁盘IOPS 趋势等指标;
  • 在“仪表板”菜单中选择“报告”,选择“报告”界面“报告模板”,选中“利用率报告 – vSphere 主机”的报告模板,选择“运行模板”,选择对象vSphere主机和群集“vSphere World”-“A1-vCSA”,等待运行结束。
  • 运行结束后,选择“报告”界面“已生成的报告”,下载为PDF,打开查看vSphere主机利用率摘要及详细报告信息。

(2)日志查看和分析

部署并打开vRealize Log Insight

  • 使用日志分析仪表板

在自定义仪表板中,有“我的仪表板”和“共享仪表板”两种。用户仪表板存放每个独立用户的仪表板组件,未进行共享前,其他用户无法使用该仪表板。

共享仪表板中默认没有组件,要想将加入组件,要使用“新建仪表板”按钮或从内容包中克隆现有仪表板。共享仪表板中的组件,对所有的用户都是开放的。用户可对共享仪表板中的组件进行添加、修改和删除等操作。

内容包仪表板存放的是从内容包市场中导入的已经定义好的仪表板组件,不能进行修改。

  • 按时间范围浏览和检索日志

以vSphere日志为例,在侧边栏中选择“VMware – vSphere”选项,选择一个仪表板子项,在左上角选择不同的时间范围浏览和检索其日志。

选择仪表板图表组件,在交互式分析界面中打开,对图表组件进行不同时间范围的日志查看和检索。

  • 查看和管理数据中心日志

在侧边栏中选择“VMware – vSphere”选项,在最右侧显示的仪表板小组件中,查看和管理 vSphere日志。在“VMware – vSphere”选项的子选项中,查看和管理vSphere的各项参数功能的数据和日志情况。

在左上角选择不同的时间范围,查看vSphere不同时间的日志情况。

在交互式分析界面中选择“创建或管理警示”图标,选择“管理警示”,勾选“VMware-vSphere内容包”,单击【启用】,使用预定义警示,根据需要勾选,本次实验勾选并设置电子邮件,单击【启用】,单击“x”退出,向vSphere发送警示通知。

5.数据中心安全

VLAN控制

所有ESXi节点网卡设置VLAN ID 为 102

VLAN可以将大型网络划分成更小的广播域,减少广播流量对网络性能的影响,同时降低攻击者通过广播域进行攻击的范围。可以在网络设备上配置基于VLAN的ACL,细化对不同VLAN之间流量的控制,防止未授权的访问。通过VLAN的分段,可以更容易监控和审计网络流量,及时发现和应对异常流量和安全威胁。

主机与操作系统安全配置

  • 强密码策略:实施强密码策略,要求用户使用复杂密码,并定期更换密码。
  • 日志记录和监控:启用系统日志记录,监控系统活动,记录所有访问和操作日志。
  • 日志分析和审计:定期对日志进行分析,识别异常活动和潜在威胁,确保合规性。

配置SSO域

SSO将用户的身份认证集中到一个系统中进行管理,所有应用程序都通过同一个身份认证系统进行验证。这减少了在不同系统之间维护多个用户名和密码的复杂性,降低了密码管理的安全风险。

启用锁定模式

在锁定模式下,ESXi主机的本地控制台和远程管理接口(如SSH)都将被禁用或限制,只允许通过vCenter Server进行管理,从而减少了直接攻击主机的风险,收束了权限范围。

启用资源池

资源池可以为不同的虚拟机或应用分配固定的计算资源(如CPU、内存、存储等),防止某个虚拟机或应用消耗过多资源,影响其他虚拟机或应用的正常运行。

通过资源池,管理员可以对每个虚拟机或应用的资源使用进行严格控制,防止恶意或误配置导致的资源滥用,提高系统的可靠性。

配置防火墙

通过防火墙规则,可以限制对vCSA的访问,确保只有经过授权的IP地址或网络才能访问vCSA的管理界面,防止未经授权的用户访问。如图禁止了来自192.168.0.0/16的访问

物理安全配置

门禁系统:在数据中心入口和关键区域安装门禁系统,控制人员的进入和离开。

视频监控:安装视频监控系统,监控数据中心的所有出入口和关键区域,记录人员活动。

参考

阮晓龙.VMware vSphere 虚拟化与企业运维从基础到实战[M].北京:中国水利水电出版社,2020.

全文完

本文作者是 ftc ,在CC BY-SA 4.0下发布,允许有原作者署名的转载,改编必须在相同的条款下共享。