mögliche Konfiguration vSphere (Feedback von der Comunity)

[ThorstenRay]

Hallo zusammen!

Es ist endlich so weit!
Mein Arbeitgeber hat endlich (die vernünftige) Entscheidung getroffen unsere alten XEN Server zu ersetzten....durch vmWare. So weit so gut.
Bei mir ist es allerdings ein paar Jahre her, dass ich mit vmWare gearbeitet habe. Das letzte Mal Ende 2012 bei meinem vorherigen Arbeitgeber.....zuletzt gerade um vSphere 5.

Wir wollen unsere 4 Xen Server durch 4 vSphere Hosts ersetzten.
Als Version soll die Enterprise Plus zum Einsatz kommen.
zwei dieser Hosts hatten bisher die Funktion Server für die DMZ zur Verfügung zu stellen.

Ich möchte aber ungern wieder zwei Server zu einem Cluster zusammen schließen um darauf nur die DMZ abbilden nur für eine Handvoll Server. Das ist in meinen Augen Ressourcenverschwendung.... ich würde lieber ein Cluster aus 4 Hosts erstellen.
Ich muss noch erwähnen, das wir noch jede Menge Hyper-V Hosts haben....insgesamt haben wir über 400 VM's am rennen....da ist also sehr viel Potential da für vmware.
Ich sehe den Einstieg in VMWare als gute Chance XEN los zu werden und um vmWare langfristig als primäres Virtualisierungstool im Konzern zu etablieren. Daher muss das Hand und Fuß haben:

Hier mal kurz die Hardware die beschafft wird (4 Hosts)
je 2* Intel Xeon 10 Core CPU
768 GB RAM
1* DualPort 10 GBit/s Ethernet
1* onBoard QuadPort 1 Gbit/s Ethernet
1 * extern QuadPort 1 Gbit/s Ethernet
DualPort HBA 8 Gb

Storage: NetApp MetroCluster (bereits vorhanden)

Bzgl. Netzwerk:

einen vSwitch für die Verwaltung:
vMotion ganz klar auf die 10 GB Ethernet Karten
vmKernel?!? Auch über diese beiden Karten oder besser eine der 1GBit Anschlüssen hernehmen.

Jetzt die Frage mit den Ürbigen Netzwerkports:
Ich könnte zum einen beispielsweise 2 dezidierte Netzwerkports exklusiv für die DMZ hernhemen um so auch eine physische Trennung abzubilden oder ich mache das alles über VLAN tagging. Sprich ich gebe alle benötigten VLANS auf die Switche und
arbeite dann mit VLAN ID's....
Was würdet ihr vorschlagen?

Auf der einen Seite soll natürlich der Sicherehitsgedanke nicht zu kurz kommen, auf der anderen Seite soll die Handhabbarkeit auch nicht verloren gehen.
Bei meinem ehemaligen AG haben wir die DMZ über VLANS abgebildet. Aber das ist ja schon ein paar Jahre her....kann sich ja einiges geändert haben.


Bzgl. Storage:
Wir würden unser SAN wie bisher auch über FC anbinden.
Was hat sich da alles geändert?
LUN's und VMFS wie bisher auch?
Wie wird das Thema RAW Disks betrachtet?

Bzgl. Storage wäre ich auch dankbar über eine Rege Diskussion.


Über Tips und sonstiges Hinweise wäre ich sehr dankbar.

VG und schon mal vielen Dank.

Thorsten

[irix]

Moin Thorsten,
hm.... also da kann man nun viel sagen was daran liegt das jede Kundenumgebung hier und da so ihre eigenen Gesetzte hat. Ich kann euch nur raten holt euch euren Partner ins Haus mit dem ihr zusammen das plant und durchfuehrt.

- Stretched Cluster oder alle 4 an einer Location? Dann bitte zum Thema vMSC auch einlesen
- VLANs (machen wir generell... wir haben nicht ein Netz/Switch wo ein Port in keinem VLAN ist
- in der DMZ verwenden wir zusaetzlich PVLAN
- Seit Freitag liefern wir Server mit Intel v4 aus
- Ich kann mir die vNetwork Konfig zwar vorstellen aber ich wuerde z.B
Onoard: Dual 10GbE + Dual 1GbE
AddOn: Dual 10GbE
AddOn: Dual/Quad 1GbE
machen wobei man ueber die letzte Karte echt reden koennte und es abhaengt ob BaseT oder SFP+ gemacht wird.
Aber..... die Redundante DMZ Verkabelung lohnt nur wenn auch redun. DMZ Switche da sind. Bei unseren Stretched Cluster gibts die z..B dann nicht mehr
- Wenn Mittel/Langfristigt Hyper-V ersetzt werde sollte dann sind irgendwann auch man 2 dedizierte DMZ Hosts "drin"
- Bei den groesseren bzw. da wo Sicherheit immer mit auf der Agenda steht und auch ein Thema ist da sind die DMZ Hosts extra
- Bei NetApp ist oftmals NFS ein Thema aber ich denke wegen Hyper-V ist es FC. Dann kann man VMFS machen oder ueberlegt ob und wann man sich mit VVOL beschaeftigt. Die p|v RDM macht man schon seit vielen Jahren nicht mehr auser die Anwendung erzingt das
- FT, vFRC ist ein Thema
- Beim Lizenzeinstieg waere ja ein Accel. Kit ein Thema und da wuerde mir auch noch andere Dinge einfallen

Gruss
Joerg

[Whitemoon]

Moin,

Ich muss noch erwähnen, das wir noch jede Menge Hyper-V Hosts haben....insgesamt haben wir über 400 VM's am rennen....da ist also sehr viel Potential da für vmware.

Sollen die VMs welche auf Hyper-V laufen kurz/mittel/langsfristig auch auf die VMWare-Plattform migriert werden? Denn je nachdem kommt das Sizing der Hardware etwas "schmall" vor.

je 2* Intel Xeon 10 Core CPU
768 GB RAM

Kann gehen... hängt davon ab wie viele VMs mit welcher Auslastung auf dem Host laufen. Evtl ist es sogar sinnvoll aus Redudanzgründen die Hosts kleiner zu dimensonieren und einen 5. Hosts zu nehmen um einen Ausfall eines Hosts abfangen zu können.

1 * extern QuadPort 1 Gbit/s Ethernet

Ist das heute noch zeitgemäß? Ich würde auf 10GBit Karten nehmen. Abwärtskompatibel zu 1GBit/s und zukunftssicher.

1* DualPort 10 GBit/s Ethernet
1* onBoard QuadPort 1 Gbit/s Ethernet
1 * extern QuadPort 1 Gbit/s Ethernet
DualPort HBA 8 Gb

Ich würde alle Karten redudant auslegen, so dass bei einem Ausfall der Karte der Host erstmal nicht beeinträchtigt ist. Sowohl im SAN als auch im LAN.

Ich könnte zum einen beispielsweise 2 dezidierte Netzwerkports exklusiv für die DMZ hernhemen um so auch eine physische Trennung abzubilden oder ich mache das alles über VLAN tagging. Sprich ich gebe alle benötigten VLANS auf die Switche und
arbeite dann mit VLAN ID's....
Was würdet ihr vorschlagen?

Wir haben die DMZ komplett physikalisch (eigenes Storage, eigene Hosts, eigenes Backup, etc...) getrennt. In eurer Größenordnung eigentlich gar keine Diskussion notwendig. Stichwort: VLAN-Hopping, VM-Escape, etc... aber jeder bewertet das Risiko anders.

LUN's und VMFS wie bisher auch?

Auf LUNs würde ich heute verzichten. Wir haben vor der Migration auf cDOT auf NFS umgestellt und die Performance ist besser geworden. Auch Datendeduplizierung läuft nun schneller.

Wie wird das Thema RAW Disks betrachtet?

In wie fern?

Bzgl. Storage wäre ich auch dankbar über eine Rege Diskussion.

Der Metrocluster ist ne gute Wahl.


Gruß,
Dani

[ThorstenRay]

Hallo zusammen!

Erst mal vielen Dank für die Antworten und den Input.

Leider habe ich noch vergessen ein paar kleine, aber wesentliche Details hinzu zu fügen.

Die vier Server werden dann auch zwei redundant angebundene Rechenzentren am Standort (Luftlinie ca. 500 Meter auseinander) verteilt. Langfristig wird ein Rechenzentrum an einen anderen Standort verlagert, welches derzeit redundant mit DarkFibre (4*10 Gbit/s) angebunden ist.

Alles Rechenzentren sind Netzwerktechnisch redundant verbunden. Sprich pro RZ einen Core, dann je RACK zwei Top of the Rack Switche die jeweils verteilt an die Cors in beiden RZ gehen und einen ManagementSwitch (SPoF) - ist aber zu vernachlässig.
USV, ASV, Notstrom, redundante Kilma...., MetroCluster für Storage, ...Sprich so weit alle Voraussetzungen erfüllt!

Sollten langfristig auch Hyper-V Cluster durch VMware abgelöst werden, so wird hierfür natürlich auch neue Hardware beschafft. Das wird vermutlich dann im Zuge vom Wartungsende der Hardware geschehen. Wir achten hier sehr darauf, dass hier nicht einfach Wild auf ein Cluster drauf gepackt wird, bis es der grätsche macht.

Was das Thema Netzwerk angeht.
Selbstverständlich wäre es Grundsätzlich schöner alles bzw. das meiste über 10GB Ethernet zu machen, aber wir haben hier leider nur zwei 48 Port 10 GB Switche im Einsatz (pro RZ einen) über denen die ganzen Migrationsgeschichte abgebildet wird. Diese Switche sind mit je 40 Gbit/s FC redundant angebunden.... Was solche Switche kosten, könnt ihr euch denken....war schon ein Kampf diese Dinger zu bekommen. Da wir pro RZ gut und gerne mehr als 20 Hosts haben...ist die Kapa für einen solchen 10 GB switch auch nicht unendlich. Leider

Ach ja, vier CPU's pro Host wären auch schon, aber ich denke dann wird es bzgl. Lizenzen schwierig bzw. ich muss dann noch mehr Überzeugungsarbeit leisten.
Ich möchte dies ja als Einstieg in den Bereich VMware nutzen und nicht gleich von vorne herein die Hürden so hoch stellen, dass unsere GF das Thema gleich sterben lassen will...