2016年12月23日金曜日

vSANのサイジングを考える(その1・キャパシティ早見表)

〜vExperts Advent Calendar 2016 に参加中です〜
http://www.adventar.org/calendars/1709


◆英語資料しかないので、早見表を作ってみました。


VMware公式資料Ver6.2はこちらにありますが、De-dupe/Compressionを考慮しなければ=概ねVer6.5でも同じ計算で大丈夫です。
http://www.vmware.com/content/dam/digitalmarketing/vmware/en/pdf/products/vsan/virtual-san-6.2-design-and-sizing-guide.pdf



◆vSANオーバーヘッドの計算について

使用率が80%を超過すると、Rebalanceという動作が走ります。
データの偏りをなくそうとしてくれるのですが、性能に影響を与えてしまうので
 使える容量を80%までに抑える というのがセオリーです。

つまり、1÷80%=1.25倍 で計算ということです。
言い換えると、25%の余裕(Slack Space)を追加しているとも言えます。

さらにメタデータの領域はVer6.x以降のファイルシステムでは1%使いますので、
79%を上限(約1.27倍)なのですが・・・

公式のベストプラクティスでは、ざっくり「30%のSlack Space」が推奨とされていますので、130%(1.3倍)を使います。
(余裕を持って、70%で割り算=1.43倍で計算する人もいますが・・・)


◆実効容量はどのくらいになるのか?

つまりはこんな感じ・・・
ErasureCodingって容量効率良いですが、All-Flash構成かつAdvライセンスが必要です。

























◆ReadyNodeを参考例にしてみる

ということで、実際にどのくらい使えるのか?を見てみたいと思います。

ReadyNodeガイドラインでは、ディスクの構成・IOコントローラ だけでなく、CPUコア・メモリ容量・NIC帯域 も指定がされています。(このあたりは別の機会に・・・)

VSANのSSD指標ではIntel-SSDがデファクトなので、ホワイトボックスのメーカ(Supermicro)を例にします。 

HY-6のプロファイル
http://www.vmware.com/resources/compatibility/detail.php?deviceCategory=vsan&productid=39358





これは、4ノード構成における パーツの合計なので
Capacityは1ノードあたり 1.2TB x5本(=6TB)で計算されているのがわかります。

1ノードあたりの物理容量では6TBなので、先程の表を使って
 MirroringでFTT=1の場合は、実効2.3TB と計算出来ます。

つまり、1ノード追加ごとに、FTT=1なら 2.3TB増えるというのが、
これでわかりやすくなりましたね。



◆縮退時の挙動を考慮しましょう

以前に、障害時の挙動について説明したとおり、HotSpareのような動きがあるので
実際に使える容量は ノード数は −1して
 2.3TB x(4−1) =6.9TB という事になります。

※vSAN障害時の挙動(再構成が自動で走るということ)
http://ja.community.dell.com/techcenter/b/weblog/archive/2016/03/28/dell-x-vmware-quot-vsan-quot-last


厳密に言えば、許容するDiskGroupの容量だけマイナスするだけでも十分なのですが
ESXサーバをまるっと減らしたほうが、わかりやすいですよね。
(CPU/MEMだってアドミッションコントロールで容量確保しますし。。)

2016年12月6日火曜日

拡散防止が最強なのです。



〜vExperts Advent Calendar 2016 に参加中です〜
http://www.adventar.org/calendars/1709

白山さんから受け継ぎました。


今日は”もう知ってるよ!!”な方も多いと思いますが、、マイセグ(MicroSegmentation)について 各方面で反応が良かったので、おさらいします。


今も話題となるのは 標的型攻撃によるマルウェア感染 です。
<絶対に100%感染しない> を持続するのは難しいと断言します。





被害にあったときのダメージも計り知れませんね。





対策も無限ループです。





この手の情報といえばIPAでしたが、経済産業省も本気ですね。





ざっくりまとめると、こんな感じ






ということで、感染しても被害は最小限 という、感染を前提とした新しい考え が必要だと思います。





よく聞かれたのが、NSXを入れればOK なんでしょ? ですが、それは違います
そもそもNSXといえば、ネットワーク仮想化ですが





2つの顔があります。
(1)自由で効率的なネットワークを実現
(2)物理環境では考えられなかった仮想NIC単位のセキュリティ対策





「なんでネットワーク仮想化がセキュリティに?」と思うかもしれませんが

その仕組みの一部を使って
「分散FireWall(DistributedFW)」の機能をセキュリティに活用することを、
 マイクロセグメンテーション というのです。





ざっくりいいますと、何かあったら ケーブルを抜く という動作に近い状態を、NSXにて制御してもらいます。






仮想環境に移行にしないとNSXの仕組みを使えないので、VDI環境にして”ネットワークが制御できる状態”にする前提があります。





そして、拡散を防止すること





これを実現するには、2つの仕組みが必要なのです。






中身を見ると、すごく単純で・・・
分散仮想スイッチ(vDS)にあるポートセキュリティの仕組み(dvFilter(※))DeepSecurityがうまく連携するようになっているのです。
 ※言い換えればL3スイッチのACL

つまり、分散FireWall使うときのNSXってポリシ管理の仕組みをNSXが提供しているだけなのですね。






これをまとめると 拡散防止ソリューション というのです。





この100%受けないように防御するのではなく、ある程度許容するというのが、もっとも有効だと私は信じています。







感染を前提にする新しい考え=拡散防止 この新しい考えを実現するには NSXだけじゃなくて、VDIとDeepSecurityの3つがセットで最強なんです。



かなり情報を削ってしまいましたが、もっとDeepなお話は BusinessMailをいただけたらとおもいます。



明日は、tunemicky さんです。
http://www.adventar.org/calendars/1709

それでは、このへんで・・・

2016年11月16日水曜日

Virtual SAN 6.5 ついにリリース!!

VirtualSANを略すと vSAN。
今回から先頭が小文字になった(VSAN→vSAN)なのが、
個人的に一番インパクトあります。
(だって、これまで量産した資料を全部書き換えないと・・・・)


さてさて、ReleaseNoteが早速出ていますので、見ていきましょう。
http://pubs.vmware.com/Release_Notes/en/vsan/65/vmware-virtual-san-65-release-notes.html


※朝になったら、HCLもUpdateされてると思うので、あとで追記します。


<0> 構成の上限については、特に変更なし


1ホスト200VM、64ノードまでなのは変わりません。

ただし、VSANクラスタでサポートするVM数は6000までなので、
30ノード以内が現実的です。
(US実績から見ても16台1クラスタが落とし所ですかね〜)


<1> 100Gbpsの世界へ


vSphere6.5で100G-Ethernetがサポートされたので、VSANのネットワークも更に高速化が見込めます。


<2> Standardライセンスで、All-Flash構成が可能に


VMworldラスベガスでAll-Flashをフィーチャーしていたのが目立っていましたが
こういうことだったと合点がいきます。

いいところ:
 ・キャッシュアルゴリズムが賢い(Hotデータのみ集まるのはAll-Flashだけ)

注意点:
 ・ErasureCoding(Raid5/6)・重複排除/圧縮を使うには、Advancedライセンス以上が必須
 ・All-Flash構成の場合、キャッシュ1本あたり600GBまでしか認識しない制約は残る


<3> 大容量ドライブ(512eドライブ)のサポート


まだHCLのデータベースが更新されていませんが、
大容量ハードディスクがようやくサポートされるようになりますので
コスト重視の構成ももっと組めるようになります。

ちなみに、4kNはまだなのでご注意を!!


<4> iSCSIターゲット機能


VMDK専用という潔い割り切りが売りだったVSANですが、
VSAN環境であっても、一部の仮想マシンでWSFCやRAC等でrawデバイスを組む場合は、外部のブロックストレージをマウントする必要が有りました。
ですが、これからは不要になります。

iSCSIターゲットを 1024まで作れます。
ターゲット1つあたりオブジェクトが生成される感じで、ターゲットごとに可用性レベル(FTT)を定義できます。

SPBMという概念とは正反対の使い方なので、私個人としてはどうにも気持ちが悪く・・・ 
上記のようなピンポイントの使い方から始めたほうが傷口が広がらずに済むと思います。
(KnownIssueで色々と情報があるので、慎重に検証をしてから使うべきです)


<5> 2ノードVSANで10Gスイッチが不要


ROBO構成にてクロス直結で使えるので、金額的にも2ノードVSANが現実的になります。
ただし、別の環境でWitness-VAを動かす必要があるので、既存環境でvSphereをお使いの方向けと言う感じです。


<6> VSAN API ならびに、PowerCLI の拡張


設定周りも自動化できるようになりました。
運用周りではディスク障害時のオペレーションも自動化できるということですね。

また、メンテナンスモードへの移行も幅が広がるので、連携できるUPSメーカーも増えると思います。


<7> CNAのサポート


また今度追記します。




2016年8月29日月曜日

VMworld チェックイン してみました

すごく簡単だったので、おすすめします。


予め、パスポートとQRコードをご用意ください。



(1)Express Check-in というレーンに入る



(2)VMworld2016アプリを起動して、Wha's Happing をクリック



(3)Whats's Happing の画面右上にある バッジのアイコンをクリック



(4)赤外線でQRコードを読み取り

   ※画面の輝度が低い(暗い)場合は、明るくすることで読み取りやすくなります。



(5)名前が表示されるので、間違いがなければ「Check-In」をクリック



(6)プリンター番号を覚える



(7)奥のカウンターで、プリンター番号のレーンに入る



(8)パスポートを提示して、Badgeを受け取る






(9)隣のカウンターで、おみやげ(リュック等)がもらえる


以上



※手続き窓口の時間はこちらをご確認くださいませ。

http://www.vmworld.com/en/us/agenda.html

2016年8月28日日曜日

「自動入国審査端末」(APC)

VMworldのためにアメリカ入国した時のmemoです。

ロサンゼルス国際空港の入国審査にて、
APC (Automated Passport Control) を利用しました。
http://flyteam.jp/news/article/41279

長い列に並ぶ必要がないのと、日本語で対応OK だけでなく
飛行機の中で税関申告書を記入も必要もありません(ココ重要
なので、オススメです。


「自動入国審査端末」(APC)はアメリカの多くの空港に設置されています。
https://www.cbp.gov/travel/us-citizens/automated-passport-control-apc

条件は、
ーー2008年以降にアメリカへの入国の実績があること
ーー当時と同じパスポートである(更新や再発行されていない)
ーーESTAをもっている


私の場合は、
ーーパスポートは前回入国と同じもの
ーーESTAは再取得(2013,2014の入国で期限切れ)

という感じで、うまくいきましたが
現地ではどうだったのかといいますと・・・



入国審査のフロアにはたくさんのキオスク端末が並んでいて、
係員が esta / 2nd-time / machine と熱心に誘導していました。

端末のタッチスクリーンで、以下の項目に答えていきます。
ーー日本語を選択すると、以降全ては日本語対応
ーー税関申告書の内容と同じyes/no
ーー入国目的
ーーESTAでの入国であることを選択
ーーパスポートの写真ページをスキャン(氏名が正しいかチェックを忘れずに)
ーー指紋スキャン(親指とその他というのがよくあるやり方)
ーーフライトの便名
ーー顔写真の撮影(帽子やメガネは外すこと)
ーー他に同行者いたら一緒に処理
ーーレシートが印刷されるので受け取る

ちなみに、私はHitしませんでしたが
ーー「レシートにバツ印」がついたら、いつもの列に並ぶ
ーー何も印がついていなければ、APC専用の列に並ぶ
ここの仕分けは係員がサポートしてくれます。

APC専用レーンで、パスポート・チケット・レシート を渡して
スタンプを押してもらいます。

その後の荷物回収などは、レガシーな入国審査と同じ流れになります。


並んだという感覚があんまりなかったです。
レガシーな審査でやる撮影・指紋・税関対応が機械化された感じでしたね。

審査エリアは「電話とカメラ撮影は禁止」のため、今回はテキストだけです。
http://eigo411.jpn.org/archives/737


それては。

2016年8月27日土曜日

Horizon from the SKY.

ただいま太平洋上空。
相変わらず、飛行機からPCoIPしています。

JL62便:成田〜サンフランシスコ(10時間)で、18ドルかかります。

感想ですが
 ・Pingレイテンシは 1000msec 前後
 ・キーボード入力をすると 0.5秒程のもたつき

という感じなのですが、

そういうタイミングで反映されていると体が慣れてくると、
ものすごく使いやすいですよ!



==【8/29追記】==

ホテルのWiFiから東京のデータセンタへPCoIPしています。

29 packets transmitted, 28 packets received, 3.4% packet loss
round-trip min/avg/max/stddev = 127.964/129.299/155.258/5.030 ms

直線距離で8900kmありますが、まったく問題ありません!!



2016年7月31日日曜日

VSANよくある勘違い集



12月〜3月にて、DELLさんの媒体(http://ja.community.dell.com/techcenter/b/weblog/archive/2016/03/28/dell-x-vmware-quot-vsan-quot-last)に寄稿をさせていただきましたが
ここではBlogに書ききれなかったこと、ここ半年で繰り返し頂く質問について、フォローアップしていきたいなと。

各項目の解説はちょっとずつやっていきます。

【1】RAID組まない?

 ・Raidを組む必要がありません!!
 ・仮想マシンの可用性に合わせて、必要なデータを他のESXサーバへ多重コピーします。
 ・ESXサーバ内のHDDどうしでミラーリングではない(Raidではない)のです。

【2】キャッシュのSSDが1本では不安なので、Raid1で構成できる?

 ・いえいえ、1本で大丈夫です。RAID不要!!
 ・キャッシュに書き込まれた内容は、他のESXサーバにもミラーリングしてくれます。

【3】VMFSとかストレージは共存できるの?

 ・はい、従来のストレージと共存できます。
 ・FC/iSCSI/NFS/DASなんでも大丈夫ですよ
 ・ただし、VSAN領域はvSphereクラスタに1つまでしか作れません。

【4】vMotionしたら内蔵ディスクのデータはどうなる?DRS対応してる?

 ・vMotionもDRSも大丈夫です!
 ・データの移動はありません。
 ・VSAN Network越しにデータアクセスされます。
 ・VMが実行するESXと、データが格納されるESXに依存関係はありません。
 ・だから、じゃんじゃん「RunDRS」してください。

【5】管理サーバ要らないの?

 ・はい、VSANのために管理サーバは不要です。
 ・基本的な動作はカーネルにBuilt-inされていますが、設定変更にはvCenterが必要です。
 ・vCenterのようなデータベースも、いわゆるネームノードも必要なく、メタ情報は各々のESXサーバに分散して保持されます。(分散メタ方式に近いです)

【6】vCenterとまったら?

 ・HAと同じように、設定変更ができないだけです。
 ・読み書きや可用性には影響ありません。

【7】どうしてvCenter仮想マシンをVSAN上に動作させられるの?

 ・最終的に動作できますが、構築時にちょっとしたテクニックが必要です。
 ・VSAN初期構築にはvCenterが必要なので、最初だけVSANではない領域にてvCenterを動作させる必要があります
  (1)Capacityディスク一部残してLocalDataStoreとしてフォーマット
  (2)LocalDataStoreにてvCenterセットアップ
  (3)vCenterでvSphereクラスタを構築
  (4)VSAN環境の設定
  (5)Storage vMotion でVSANデータストアに引っ越し
  (6)空になったDataStoreはフォーマットして、VSANのDiskGroupに参加させればOK。(作業用領域として残す人もいますが。。。)

【8】ESXiをインストールする領域は、どう作ればいいの?

 ・VSAN領域と、ESXブート領域は分ける必要があります。
 ・最近のトレンドはSD/USBといったFlashメディアからの起動が多いですね。
 ・ディスク起動で構成する場合は、VSAN用のアレイコントローラとは別に、ESXを起動用のアレイコントローラ(こっちはRaid-1等)を用意してください。



今日はここまで。。。

2016年2月12日金曜日

VSAN6.2の発表内容について(続報1)Raid5/6 Erasure Codingの容量計算

Raid5/6な Erasure Codingの容量計算についてまとめてみました。
昨日書いたメモ(http://vm-fun.blogspot.jp/2016/02/vsan62.html)の補足になります。



純粋に、Erasure Codingがどのくらい容量のメリットがあるのか
こちらで比較表にしました。(クリックすると大きくなります)



必要なノード数が1つ増えちゃいますが、
今までよりもぐっと効率が良いですね。魅力的です!




注意1)FTTは1または2だけとなります。0や3は出来ませんのでご注意を。

注意2)また、この表では
 ・重複排除・圧縮機能は考慮せず
 ・Witness専用仮想アプライアンス構成は想定外
 ・リバランスへの対応は含まず
となっています。



データの置かれ方など、公式ドキュメントがGAされ次第

色々と分析してゆきたいと思います。

2016年2月11日木曜日

VSAN6.2の発表内容について(注目しておきたいところ)

VSAN6.1での実際に障害を起こして運用への影響を見るBlogを連載中ですが、
http://ja.community.dell.com/techcenter/b/weblog/archive/2016/02/09/dell-x-vmware-quot-vsan-quot-3
いてもたってもられないので書いちゃいます。

日本時間の水曜深夜(木曜未明)に、USにて発表がありました。
SDDC関連の国内記者発表は金曜にあるはずです。
https://www.vmware.com/products/whats-new-virtual-san.html


基本的に大きなアーキテクチャ(考え方)の変更はありませんが

個人的に気になった5つの機能についてコメントします。

(1)Checksum(全エディション)

物理デバイスへのアクセス時にデータエラーがあっても自動で補正がかかり、データの一貫性が保証されるようになりました。
チェックサムの方式については何なのかは明らかになっていませんが、ミッドレンジクラスの専用ストレージでは当然だった機能が、ようやく搭載されました。

(2)インラインでDedupe&Compression(Advanced, Enterpriseのみ)

オールフラッシュ構成限定ですが、重複排除と圧縮がつきました。
ん〜、リソースオーバーヘッドはどのくらい余計に見積もればいいのかな?

(3)RAID-5/RAID-6 – Erasure Coding(Advanced, Enterpriseのみ)

オールフラッシュ構成限定ですが、容量重視の構成も組めるようになりました。
たとえば40GBのVM作成時、4ノード構成(FTT=1)では80GB、これをRaid-5(3+1)に変更すると約54GBで収まるようになります。
引っかかるのは、Network-RAIDという仕組みとも言われているところ。LeftHandとおなじっぽく聞こえるので、安易にRAID5/RAID6といっていいものやら、、と悩んでしまいます。

(4)QoSによるIO上限値の設定(Enterpriseのみ)

仮想マシンごとに可用性を定義するように、IOPSの上限を設定することができます。
これはEnterpriseエディション限定です。
FCとか外部ストレージをVSANクラスタに増設して逃せば?以外の選択肢が増えましたね。

(5)性能監視(全エディション)

vCenterからパフォーマンスモニタができるようになりました。
いまのところ、レイテンシ・スループット・IOPSが見えるとのこと
もう、VSAN ObserverでHTML生成は用済みになるのかなぁ。。。

VSANのエディション追加については、下記をご確認下さいませ。
https://www.vmware.com/products/virtual-san/compare.html


なお、オールフラッシュ構成は Advancedエディション以上というのは変わりませんが、

Horizon7 AdvancedにもついてくるVSANは、Advanced相当なようです。
http://www.vmware.com/products/horizon-view/compare.html