Сравниваем лучшее программное обеспечение для виртуализации в 2020 году: hyper-v, kvm, vsphere и xenserver

Использование vSphere

vSphere предоставляет ИТ-отделам возможность отложить дорогостоящие проекты по расширению ЦОД, нарушающие работу организации, с помощью консолидации пятнадцати или более виртуальных машин на одном физическом сервере без ущерба для производительности.

Повышение уровня непрерывности бизнеса:

vSphere помогает организациям снизить расходы на решения по обеспечению непрерывности бизнеса и аварийного восстановления и их сложность с помощью возможностей модели Always-on IT и многоуровневой защиты от прерываний обслуживания и потери данных.

Оптимизация ИТ-процессов:

vSphere снижает эксплуатационные издержки и существенно упрощает управление крупными географически распределенными средами разработки и контроля качества, а также производственными ИТ-средами.

Предоставление ИТ как услуги:

VMware vSphere — это единственная платформа виртуализации, которая предоставляет заказчикам возможности облачных вычислений и обеспечивает неизменные уровни безопасности, соответствие нормативным требованиям и полный контроль над корпоративными активами

Развертывание vCenter Server

Для установки vCenter 7.0 сохраняем скаченный ISO на управляющую средой vSphere машину с Windows в D:\Install\VMware\VMware vSphere 7\VMware vCenter 7. Далее монтируем ISO-образ как виртуальный диск DVD на компьютере, с которого осуществляется подключение к ESXi-хостам, либо извлекаем содержимое в каталог пользователя. Переходим в каталог «vcsa-ui-installer\win32» и запускаем «installer.exe» (в случае с Linux ищем каталог «vcsa-ui-installer/lin64»). Нажимаем «Install» для установки нового vCenter Server:

Мастер-установщик vCenter Server проходит два этапа.

Stage 1

Introduction. Здесь нам подробно показывают, как будет устанавливаться наш vCenter. Кнопочкой «Next» проходим до конца:

End user license agreement. Здесь лицензионное соглашение, которое следует принять.

vCenter Server deployment target. На этом этапе следует указать параметры первого хоста ESXi, где будет развернут в итоге vCenter:

ESXi host or vCenter Server name: 192.168.11.30

HTTPS port: 443

User name: root

Password: ************ 

Set up vCenter Server VM. Здесь вводится имя vCenter VM и устанавливается пароль администратора для vCenter Server Appliance:

Set deployment size. Выбираем тип размера развертывания (у нас — Tiny) и размер хранилища. Прямо под полями удобная табличка для сопоставления нужного количества хостов и машин с типом развертывания, параметрами памяти, размера хранилища и количеством vCPU:

Select datastore. В этом разделе выбирается место хранения этого vCenter Server, достаточное для развертывания виртуальной машины. У нас он уже готов – это «datastore100». Включаем режим тонкого диска («Enable Thin Disk Mode»):

Configure network settings. Сетевые настройки в нашем случае будут следующими:

Network: VM Network

IP version: IPv4

IP assignment: static

FQDN: (optional)

IP address: 192.168.11.31

Subnet mask of prefix length: 255.255.255.0

Default gateway: 192.168.11.2

DNS servers: 192.168.11.2 

Ready to complete stage 1. Проверяем все настройки и соглашаемся с завершением первого этапа установки:

Какое-то время на экране будет прогресс-бар разворота vCenter 7.0.

Stage 2

Introduction. Нам аналогично сообщают, что будет происходить на данном этапе. Чтобы продолжить, нажимаем «Next».

vCenter Server configuration. Выбираем настройки синхронизации времени и включаем доступ к SSH:

Time synchronization mode: Synchronize with the ESXi host

SSH access: Enabled 

SSO configuration. Выбираем опцию «Create a new SSO domain»:

Single Sign-On domain name: vsphere.local

Single Sign-On user name: administrator

Single Sign-On password: Enter a password and confirm the password

Configure CEIP. Убираем галочку, если не хотим отправлять статистику в VMware и идем далее:

Ready to complete. Проверяем все, что задали, и жмем «Finish».

Реализация

Первоначально начнем с того, что на коммутаторе порты к которым подключены физические машины поместим в собственные VLAN, которых нет в инфраструктуре организации. В итоге получается что в каждом VLAN оказывается по две физические машины. Далее все созданные VLAN помешаем на сервер где установлен VMWare.

На виртуальном switch VMWare получаем следующую структуру:

Для того, чтобы организовать маршрутизацию и разделение на подсети используем Mikrotik CHR. На сервере VMWare разнесем созданные VLAN между виртуальными машинами и Mikrotik. В итоге получаем следующим вид для каждого VLAN:

Новая топологию с Mikrotik CHR выглядит следующим образом:

На виртуальный маршрутизатор в итоге приходят следующие интерфейсы:

1. Интерфейс для доступа к внутренней сети организации
2. Интерфейс с реальным IP адресов
3. Интерфейс каждого созданного VLAN

Антивирусные продукты без интеграции с vShield Endpoint

Производители этой категории антивирусов, несмотря на то, что не обеспечили интеграцию с технологией VMware vShield Endpoint, предлагают некоторые средства оптимизации антивирусной защиты объектов, расположенных в виртуальной среде.

Подчеркнём особо, что данные продукты серьёзно проигрывают по возможностям антивирусным продуктам, использующим интеграцию с технологией vShield, т.е. используемые оптимизации дают лишь незначительный прирост в производительности, что может серьёзно сказаться на неэффективном использовании аппаратных ресурсов гипервизоров при их использовании. При возможности необходимо использовать антивирусы из первой группы.

ESET Secure Enterprise

Разработчики ESET Secure Enterprise в документе под названием ESET Virtual Environment Optimization Guide предлагают оптимизировать защиту следующим образом:

• настроить обновление антивируса с зеркального сервера обновлений;
• отключить автоматическое обновление при входе пользователя в систему;
• снизить приоритет сканирования при старте системы;
• добавить в исключения из проверки инструменты и файлы, относящиеся к виртуальной машине;
• снизить уровень подробности создаваемых файлов отчёта;
• отключить графический интерфейс антивируса.

Symantec Endpoint Protection

Разработчики Symantec Endpoint Protection в настоящее время разрабатывают антивирус, работающий через vShield Endpoint, при этом в текущей версии реализованы следующие методы оптимизации работы антивируса в условиях виртуальных сред:

• использование технологии общего кэша проверенных файлов Shared Insight Cache;
• рандомизация обновления клиентов для более равномерного распределения нагрузки на сетевую подсистему гипервизора;
• рандомизация файловых сканирований для более равномерного распределения нагрузки на дисковую и вычислительную подсистемы гипервизора;
• использование технологии Virtual Image Exception – позволяет исключать из проверки файлы, относящиеся к эталонному образу виртуальной системы.

Как видим, в целом предлагаемые в данных продуктах оптимизации и рекомендации по использованию для защиты виртуальных сред решают проблему оптимизации нагрузки на гипервизор лишь частично – средний уровень нагрузки на аппаратную часть от работы антивируса в этом случае значительно выше, чем в продуктах, работающих на уровне гипервизора (при использовании технологии vShield).

Системы предотвращения вторжений

К данной категории продуктов был отнесёт продукт компании IBM, позволяющий ограничивать доступ к объектам виртуальной инфраструктуры предприятия, сохранять их целостность, осуществлять мониторинг действий привилегированных пользователей и т.д.

IBM Security Virtual Server Protection for VMware

Основные преимущества:

• предотвращение вторжений без использования агентов, что позволяет автоматически обеспечивать защиту виртуальных машин при их переносе или развёртывании;
• обеспечение соответствия нормативным требованиям за счёт мониторинга и отчётности об инцидентах безопасности;
• снижение затрат и сложности за счёт различных оптимизаций защиты для виртуальных сред.

Диагностика

Пользовательский интерфейс прямой консоли (DCUI).
DCUI — это интерфейс на основе меню, доступный в консоли физического сервера с установленным или встроенным гипервизором ESXi. Он используется в первую очередь для первоначальной настройки узла (IP-адреса, имени узла, пароля привилегированного пользователя) и диагностики.
В интерфейсе DCUI предусмотрено несколько элементов меню, которые используются для диагностики и предоставляют администратору следующие возможности.

• Перезапуск всех агентов управления, в том числе:
  • hostd
  • vpxa
  • vpxa
• Сброс параметров конфигурации, в том числе выполнение следующих действий:
  • Исправление неверных параметров vSphere Distributed Switch
  • Сброс всех параметров до значений по умолчанию
• Активация оболочки ESXi для устранения неполадок, в том числе предоставление следующих прав:
  • Локальный доступ (на консоли узла)
  • Удаленный доступ (на основе протокола SSH)

Интерфейс командной строки vSphere

Интерфейс командной строки vCLI содержит множество команд для устранения неполадок, в том числе следующие.

• esxcli
• vmkfstools
• vmware-cmd
• resxtop
• Оболочка ESXi

Оболочка ESXi — это локальная консоль для предоставления расширенной технической поддержки. Доступ к оболочке можно получить как через локальную консоль узла, так и удаленно, по протоколу SSH. Управление доступом к оболочке ESXi осуществляется следующими способами.

• Разрешение и запрет (по отдельности) локального и удаленного доступа к оболочке ESXi через интерфейс DCUI и сервер vCenter.
• Права на использование оболочки ESXi для всех авторизованных, а не только привилегированных пользователей. Авторизация пользователя осуществляется путем предоставления ему прав администратора узла (в том числе при включении его в привилегированную группу Active Directory).
• Запись всех команд, выполняемых в оболочке ESXi, в журналы аудита. При правильной настройке сервера syslog этот журнал аудита автоматически добавляется в журнал на удаленном сервере.
• Задание времени ожидания для оболочки ESXi (как локальной, так и удаленной), чтобы обеспечить ее автоматическое отключение через определенное время.

Основные возможности и компоненты

Службы инфраструктуры

• Гипервизор VMware vSphere ESXi предоставляет надежный, проверенный в производственных средах и высокопроизводительный уровень виртуализации. С его помощью несколько виртуальных машин могут совместно использовать аппаратные ресурсы и поддерживать производительность, сопоставимую со стандартной пропускной способностью (а в некоторых случаях превышающей ее).
• Технология виртуальной симметричной многопроцессорной обработки данных vSphere SMP дает возможность использовать исключительно мощные виртуальные машины, содержащие до восьми виртуальных ЦП.
• Виртуальное оборудование VMware поддерживает ОЗУ объемом 1 Тбайт и различное оборудование следующего поколения, такое как процессоры для трехмерной графики и устройства USB 3.0.
• Файловая система vSphere VMFS 5 предоставляет виртуальным машинам доступ к общим устройствам хранения (Fibre Channel, iSCSI и т.д.) и является основной технологией для других компонентов VMware vSphere, таких как VMware vSphere Storage vMotion.
• API-интерфейсы хранилища vSphere обеспечивают интеграцию с поддерживаемыми решениями сторонних поставщиков по защите данных.
• vSphere Storage Thin Provisioning обеспечивает динамическое распределение емкости общего хранилища, благодаря чему ИТ-организации могут реализовать многоуровневую стратегию хранения данных и сократить связанные с этим расходы на 50%.

Службы приложений

• VMware vSphere vMotion обеспечивает перенос работающих виртуальных машин по серверам без прерывания работы пользователей или обслуживания, что устраняет необходимость в планировании простоев приложений для обслуживания серверов.
• vSphere High Availability (HA) обеспечивает экономичный автоматизированный перезапуск в течение нескольких минут для всех приложений при отказе оборудования или ОС.
• Возможность «горячего» подключения обеспечивает добавление виртуального хранилища и сетевых устройств к виртуальной машине и их удаление без прерываний работы или простоев.
• Возможность «горячего» расширения виртуальных дисков обеспечивает добавление виртуального хранилища к работающим виртуальным машинам без прерываний работы или простоев.

Службы управления

• Агент VMware vCenter поддерживает подключение узлов vSphere к серверу VMware vCenter для централизованного управления всеми узлами и виртуальными машинами.
• vSphere Update Manager автоматизирует отслеживание, применение исправлений и обновлений на узлах VMware vSphere, а также в приложениях и операционных системах, запущенных в виртуальных машинах VMware.
• VMware vCenter Converter предоставляет ИТ-администраторам возможность быстро преобразовывать физические серверы и виртуальные машины сторонних поставщиков в виртуальные машины VMware.
• Веб-клиент vSphere помогает ИТ-администраторам управлять основными возможностями VMware vSphere из любого браузера и любой точки мира.

История

Компания VMware успешно функционирует на рынке высоких технологий уже более десятилетия. Основана VMware была в 1998-м году, и с тех пор уже стала известна более чем в сорока странах всего мира. В 2004 году VMware была приобретена корпорацией EMC и под ее управлением функционирует до сих пор, располагаясь в городе Пало-Альто, штат Калифорния.VMware основывает свою деятельность на разработках в области виртуализации. Официально история именно VMware vSphere началась почти 10 лет назад, в конце апреля 2009 года. Решение возникло не на пустом месте, а пришло на смену платформе виртуализации VMware Virtual Infrastructure, наработки которой и были использованы. vSphere позволяет быстро развернуть надежную отказоустойчивую инфраструктуру, объединить виртуальные системы, сети и хранилища в единые пулы ресурсов, сделать рабочую среду максимально устойчивой и управляемой. Многие специалисты называют ее первой истинно облачной операционкой. И вот почему. Сегодня чтобы приложение заработало в облачной среде , Microsoft Azure или Amazon, его код нужно переписать для них, либо создать с нуля. vSphere же призвана перенести исполнение приложений в облако максимально естественным и безболезненным для программиста, администратора и пользователя образом. Те программы, которые уже сейчас работают под управлением ПО VMware, фактически оказываются готовыми к миграции в облако без нужды в каких бы то ни было патчах и модификациях.
При разработке VMware Infrastructure 3.5, компанией VMware была задумана vSphere как расширенный набор инструментов для облачных вычислений с использованием VMware ESX/ESXi 4. Набор инструментов с поддержкой облачных вычислений отделили как VMware Infrastructure 4 (VI 4 для краткости ) для отличия от VMware Infrastructure 3.5 (VI 3.5 ), готовой к выпуску (30 марта 2009).

Важные даты

1. 21 апреля 2009 года компания VMware объявила о создании vSphere 4, вместо VI 4, и выпустила 21 мая 2009 года.
2. 19 ноября 2009 года, VMware выпустила Update 1 для Vsphere 4 c добавлением ​​поддержки Windows 7 и Windows Server 2008 R2.
3. Компания VMware начала поставки VSphere 4.1 в августе 2010 г. Это обновление включает усовершенствованный vCenter Configuration Manager, а также vCenter Application Discovery Manager и способность VMotion перемещать одновременно более одной виртуальной машины от одного хоста сервера к другому.
4. 10 февраля 2011 года VMware выпустила Update 1 для Vsphere 4.1, чтобы добавить поддержку RHEL 6 , RHEL 5.6 , SLES 11 SP1 для VMware, Ubuntu 10.10 и Solaris 10 Update 9.
5. 12 июля 2011 года VMware выпустила пятую версию VMware vSphere .
6. 27 августа 2012 года VMware выпустила vSphere 5.1 .Эта расширенная версия vSphere включает VMware vSphere Storage Appliance, vSphere Data Protection, vSphere Replication and vShield Endpoint.
7. 22 сентября 2013 года вышла версия vSphere 5.5 .
8. В мае 2014 года SAP и VMware объявили о доступности SAP HANA для использования в производственной среде на VMware vSphere 5.5.
9. 3 февраля 2015 года генеральный директор компании VMware Пат Гелсингер объявил о выходе vSphere 6.0 с большим количеством новых функций и усовершенствований.

Как создать снапшот в VMware vSphere

Сама процедура очень простая и сейчас будет описана. Если же вы захотите ее автоматизировать, то советую почитать Как создать snapshot виртуальной машины по расписанию в VMware vCenter 5.5.

сразу подчеркиваю shapshot это не замена бэкапа, запомните это

Выбираете любую виртуальную машину, щелкаете по ней правым кликом и из контекстного меню выбираете Snapshot > Take Snapshot

В следующем окне задаем имя snapshot и при желании описание в поле description

Обратите внимание на две возможные галки. В ESXI 6.5 и выше, создание снимка виртуальной машины делается подобным образом, но уже из веб-интерфейса

Вы так же выбираете нужный сервер, вызываете его контекстное меню «Snaphots — Tale Snapshot»

В ESXI 6.5 и выше, создание снимка виртуальной машины делается подобным образом, но уже из веб-интерфейса. Вы так же выбираете нужный сервер, вызываете его контекстное меню «Snaphots — Tale Snapshot»

Описание параметров снимка

• Snapshot the virtual machine’s memory > данная опция нужна для того, чтобы во время снятия snapshot esxi виртуалки было состояние оперативной памяти, что при откате даст работающую виртуальную машину. Если вы ее снимите, то вернувшись из снапшота виртуальная машина будет выключена, но зато такой снапшот будет создаваться быстрее, так как нет необходимости сохранять оперативную память в файл, особенно если память большая и постоянно обновляется.
• Quiesce guest file system (need VMware Tools installed) > Это процесс при котором подготавливаются данные на виртуальном диске в состояние требуемое для резервного копирования. Заморозить гостевую файловую систему (требуется установка VMware Tools и ее драйвер Sync Driver) позволяет гарантировать, что данные гостевой операционной системы останутся не поврежденными в снимке.

В итоге VMware Tools с помощью VMware Snapshot Provider запускает создание VSS snapshot внутри гостевой ОС. После чего все VSS writers (смотрим их командой «vssadmin list writers») в гостевой ОС получают запрос и подготавливают соответствующие приложения к бэкапу (происходит запись всех транзакций из памяти на диск). Когда все VSS writers заканчивают работу, они сообщают службе VMware Tools через VMware Snapshot Provider, который, в свою очередь, говорит VMware о том, что снапшот можно снять. Таким образом все приложения резервного копирования для VMware vSphere используют следующие комбинации при отдании команды на создание снапшота VMware (заметьте, что процесс непосредственно создания снапшота целиком и полностью контролируется самой VMware)

Если делать бэкап без опции Quiesce guest file system, то могут быть большие проблемы при восстановлении контроллера домена или Exchange сервера.

Ведение журналов

Ведение журналов необходимо для устранения неполадок и для обеспечения соответствия нормативным требованиям. Решение vSphere объединяет журналы всех системных компонентов, используя стандартный отраслевой формат syslog, и может отправлять их на центральный сервер ведения журналов. Постоянная запись информации в файл, который находится в доступном локальном хранилище данных, связанном с узлом vSphere, выполняется автоматически.

Для обеспечения точности данных в журнале и соответствия нормативным требованиям важно, чтобы узел vSphere был постоянно синхронизирован с источником точного времени. Это также важно в случае, если узел используется для поддержания точного времени на гостевых виртуальных машинах

Узлы vSphere имеют встроенные средства для синхронизации с серверами времени NTP.

Дополнительные возможности для Windows

Virtualization Based Security

Для Windows 10, Windows Server 2016 и новее мы можем использовать Virtualization Based Security. Включение VBS принудительно установит механизм загрузки в UEFI и включит Secure Boot. Если VM использовала BIOS, она, скорее всего, не загрузится после включения.

Про VBS можно прочитать в документации Microsoft или блоге VMware. VBS недостаточно включить в настройках виртуальной машины, его необходимо настроить в гостевой ОС. Процедура настройки описана здесь и в документации Microsoft.

Virtual Trusted Platform Module

Для Windows 10 и Windows Server 2016 и новее, включив шифрование конфигурационных файлов VM и используя для загрузки UEFI (Secure boot можно не включать), в настройках VM становится доступна установка vTPM.

Данные vTPM хранятся в файле *.nvram в зашифрованном виде.

В гостевой ОС vTPM определяется как обычный физический TPM 2.0.

vTPM в Windows определяется как обычный TPM 2.0

Bitlocker

С vTPM мы можем использовать Windows Bitlocker без ввода пароля при загрузке Windows.

Windows будет загружаться автоматически и разблокировать диски с помощью ключей в vTPM. Если такую VM вынести за пределы площадки облачного провайдера, (или, если vTPM будет изменён, а такое происходит даже при восстановлении бэкапа VM, кроме восстановления поверх) то Bitlocker будет требовать ввести ключ восстановления Bitlocker. Перенести ключи из vTPM невозможно (такой кейс не описан в документации и простых способов извлечения ключей из vTPM я не вижу).

После ввода ключа восстановление Bitlocker диск останется зашифрован и начнёт использовать новый vTPM, т.е., в случае изменения vTPM, ключ восстановления Bitlocker нужно будет ввести только 1 раз.

Кейс использования vTPM + Bitlocker может быть компромиссом между удобством (VM включается автоматически без ввода пароля Bitlocker) и безопасностью данных (данные зашифрованы средствами гостевой ОС).

Через панель управления VMware Cloud Director 10.1 и новее есть возможность выбрать Storage Policy, использующую шифрование.

Можно изменять как VM default policy, и в этом случае, изменится политика всех дисков VM, у которых Storage policy не задана явно (задана как VM default policy), а также изменится политика хранения конфигурационных файлов VM.

Также можно задавать Storage Policy индивидуально для каждого диска.

Необходимо придерживаться правила, чтоб все диски VM были или зашифрованы, или были без шифрования. При попытке использования дисков с шифрованием и без шифрования на одной виртуальной машине VMware Cloud Director не позволит это сделать.

При зашифрованных конфигурационных файлах виртуальной машины мы увидим напротив VM Storage Policy надпись (Encrypted). При зашифрованных дисках надпись (Encrypted) будет отображаться напротив каждого виртуального диска.

vTPM без шифрования диска средствами VM Encryption

Чтобы подключить vTPM, конфигурационные файлы VM нужно зашифровать (также, должен быть включен Secure Boot и использовать Windows в качестве гостевой ОС). Если использовать Bitlocker, то шифрование дисков VM средствами VM Encryption приведёт к двойному шифрованию и может негативно сказаться на производительности. Чтобы зашифровать конфигурационные файлы и не шифровать диски VM,необходимо назначить VM Storage Policy c шифрованием, а для дисков использовать Storage Policy без шифрования.

Подключить vTPM из интерфейса VMware Cloud Director нельзя, но это возможно сделать через vSphere Client силами инженеров облачного провайдера.

Дополнительные продукты и модули vSphere

VMware vCenter Server: vCenter обеспечивает унифицированное управление всей виртуальной инфраструктурой и предоставляет доступ ко многим основным возможностям vSphere, таким как перенос работающих машин. vCenter управляет тысячами виртуальных машин в нескольких инфраструктурах и оптимизирует администрирование благодаря таким возможностям, как быстрая инициализация и автоматическое применение политик. vCenter является обязательным компонентом среды vSphere и лицензируется отдельно
по числу экземпляров.

VMware Data Recovery предоставляет удобное экономичное резервное копирование и восстановление виртуальных машин в малых средах без использования агентов.