2016年12月23日金曜日

vSANのサイジングを考える(その1・キャパシティ早見表)

〜vExperts Advent Calendar 2016 に参加中です〜
http://www.adventar.org/calendars/1709


◆英語資料しかないので、早見表を作ってみました。


VMware公式資料Ver6.2はこちらにありますが、De-dupe/Compressionを考慮しなければ=概ねVer6.5でも同じ計算で大丈夫です。
http://www.vmware.com/content/dam/digitalmarketing/vmware/en/pdf/products/vsan/virtual-san-6.2-design-and-sizing-guide.pdf



◆vSANオーバーヘッドの計算について

使用率が80%を超過すると、Rebalanceという動作が走ります。
データの偏りをなくそうとしてくれるのですが、性能に影響を与えてしまうので
 使える容量を80%までに抑える というのがセオリーです。

つまり、1÷80%=1.25倍 で計算ということです。
言い換えると、25%の余裕(Slack Space)を追加しているとも言えます。

さらにメタデータの領域はVer6.x以降のファイルシステムでは1%使いますので、
79%を上限(約1.27倍)なのですが・・・

公式のベストプラクティスでは、ざっくり「30%のSlack Space」が推奨とされていますので、130%(1.3倍)を使います。
(余裕を持って、70%で割り算=1.43倍で計算する人もいますが・・・)


◆実効容量はどのくらいになるのか?

つまりはこんな感じ・・・
ErasureCodingって容量効率良いですが、All-Flash構成かつAdvライセンスが必要です。

























◆ReadyNodeを参考例にしてみる

ということで、実際にどのくらい使えるのか?を見てみたいと思います。

ReadyNodeガイドラインでは、ディスクの構成・IOコントローラ だけでなく、CPUコア・メモリ容量・NIC帯域 も指定がされています。(このあたりは別の機会に・・・)

VSANのSSD指標ではIntel-SSDがデファクトなので、ホワイトボックスのメーカ(Supermicro)を例にします。 

HY-6のプロファイル
http://www.vmware.com/resources/compatibility/detail.php?deviceCategory=vsan&productid=39358





これは、4ノード構成における パーツの合計なので
Capacityは1ノードあたり 1.2TB x5本(=6TB)で計算されているのがわかります。

1ノードあたりの物理容量では6TBなので、先程の表を使って
 MirroringでFTT=1の場合は、実効2.3TB と計算出来ます。

つまり、1ノード追加ごとに、FTT=1なら 2.3TB増えるというのが、
これでわかりやすくなりましたね。



◆縮退時の挙動を考慮しましょう

以前に、障害時の挙動について説明したとおり、HotSpareのような動きがあるので
実際に使える容量は ノード数は −1して
 2.3TB x(4−1) =6.9TB という事になります。

※vSAN障害時の挙動(再構成が自動で走るということ)
http://ja.community.dell.com/techcenter/b/weblog/archive/2016/03/28/dell-x-vmware-quot-vsan-quot-last


厳密に言えば、許容するDiskGroupの容量だけマイナスするだけでも十分なのですが
ESXサーバをまるっと減らしたほうが、わかりやすいですよね。
(CPU/MEMだってアドミッションコントロールで容量確保しますし。。)

2016年12月6日火曜日

拡散防止が最強なのです。



〜vExperts Advent Calendar 2016 に参加中です〜
http://www.adventar.org/calendars/1709

白山さんから受け継ぎました。


今日は”もう知ってるよ!!”な方も多いと思いますが、、マイセグ(MicroSegmentation)について 各方面で反応が良かったので、おさらいします。


今も話題となるのは 標的型攻撃によるマルウェア感染 です。
<絶対に100%感染しない> を持続するのは難しいと断言します。





被害にあったときのダメージも計り知れませんね。





対策も無限ループです。





この手の情報といえばIPAでしたが、経済産業省も本気ですね。





ざっくりまとめると、こんな感じ






ということで、感染しても被害は最小限 という、感染を前提とした新しい考え が必要だと思います。





よく聞かれたのが、NSXを入れればOK なんでしょ? ですが、それは違います
そもそもNSXといえば、ネットワーク仮想化ですが





2つの顔があります。
(1)自由で効率的なネットワークを実現
(2)物理環境では考えられなかった仮想NIC単位のセキュリティ対策





「なんでネットワーク仮想化がセキュリティに?」と思うかもしれませんが

その仕組みの一部を使って
「分散FireWall(DistributedFW)」の機能をセキュリティに活用することを、
 マイクロセグメンテーション というのです。





ざっくりいいますと、何かあったら ケーブルを抜く という動作に近い状態を、NSXにて制御してもらいます。






仮想環境に移行にしないとNSXの仕組みを使えないので、VDI環境にして”ネットワークが制御できる状態”にする前提があります。





そして、拡散を防止すること





これを実現するには、2つの仕組みが必要なのです。






中身を見ると、すごく単純で・・・
分散仮想スイッチ(vDS)にあるポートセキュリティの仕組み(dvFilter(※))DeepSecurityがうまく連携するようになっているのです。
 ※言い換えればL3スイッチのACL

つまり、分散FireWall使うときのNSXってポリシ管理の仕組みをNSXが提供しているだけなのですね。






これをまとめると 拡散防止ソリューション というのです。





この100%受けないように防御するのではなく、ある程度許容するというのが、もっとも有効だと私は信じています。







感染を前提にする新しい考え=拡散防止 この新しい考えを実現するには NSXだけじゃなくて、VDIとDeepSecurityの3つがセットで最強なんです。



かなり情報を削ってしまいましたが、もっとDeepなお話は BusinessMailをいただけたらとおもいます。



明日は、tunemicky さんです。
http://www.adventar.org/calendars/1709

それでは、このへんで・・・