buchachon - Fotolia
vSphere: Darauf muss man bei Installation und Betrieb achten
Unternehmen, die auf VMware vSphere zur Virtualisierung setzen, sollten beim Einsatz einige Punkte beachten. Wir geben einige Hinweise auf typische Stolperfallen.
Eine gewählte Option bei der Installation oder der Konfiguration von vSphere kann durchaus signifikante Folgen haben. Nachfolgend haben wir einige Punkte und Aspekte zusammengefasst, die erfahrungsgemäß bei entsprechenden Umgebungen zu Problemen führen können.
Geht es um die Aktualisierung auf VMware vSphere 6.7, oder generell die Installation, müssen die entsprechenden Voraussetzungen beachtet werden.
Aktualisierungspfad berücksichtigen
Wenn Unternehmen eine Umgebung auf VMware vSphere 6.7 aktualisieren wollen, so ist dies erst ab vSphere 6.0 möglich. Die Reihenfolge der Aktualisierung ist gleichfalls entscheidend. Nach der Aktualisierung sollte ebenfalls geplant werden, wie die Umgebung in Zukunft verwaltet werden soll. Ideal ist die vCenter Appliance. Der Nachfolger von vSphere 6.7 wird keine Windows-Version von vCenter mehr zur Verfügung stellen. Es bietet sich also an, bereits bei der Aktualisierung zu vSphere 6.7 auch auf die vCenter Appliance zu setzen.
Eventuelle Probleme bei der Aktualisierung berücksichtigen
Werden Virtualisierungs-Hosts zu einer neuen Version aktualisiert, überschreibt der Host Einstellungen durch die Aktualisierung, zum Beispiel bezüglich der Authentifizierung. Administratoren sollten nach der Aktualisierung alle wichtigen Einstellungen überprüfen. Besonders wichtig sind hier die Netzwerkeinstellungen, denn diese werden oft zurückgesetzt. Außerdem kann es passieren, dass durch die Aktualisierung die Reihenfolge der Netzwerkverbindungen verändert wird.
Während der Aktualisierung werden zudem die Einstellungen der virtuellen Switches verändert. Vor allem die Ausfallsicherheit von virtuellen Switches macht bei der Aktualisierung manchmal Probleme. Auch der Zugriff auf externe Datenspeicher sollte überprüft werden.
Grundsätzlich kann es passieren, dass während der Aktualisierung alle selbst angepassten Optionen auf die Standardwerte geändert werden. Das gilt auch für die Einstellungen der Uhrzeit und DNS-Konfigurationen. Die Startreihenfolge der virtuellen Server sollte ebenso überprüft werden.
Das Gleiche gilt für Einstellungen der Firewall sowie die erweiterten Einstellungen der virtuellen Server. Ressourcen-Pools sollten ebenfalls kontrolliert werden. Hier kann es nach der Aktualisierung passieren, dass einzelnen virtuellen Servern nicht genügend Ressourcen zur Verfügung stehen und Server daher nicht starten können.
Netzwerke richtig planen
vSphere ist sehr flexibel, wenn es um die Einrichtung von virtuellen Netzwerken geht. Hier sollte vorher gut geplant werden, welche Netzwerke zum Einsatz kommen sollen.
Um Netzwerke in virtuellen Umgebungen mit vSphere optimal zu betreiben, sollten die physischen Switches idealerweise redundant ausgelegt sein. Da die physischen Switches die Grundlage des Netzwerkverkehrs darstellen, sind diese wichtig für den stabilen Betrieb von vSphere. In einer idealen Umgebung betreiben Sie auf den Virtualisierungs-Hosts mehrere virtuelle Switches, die auf mehrere physische Netzwerkadapter zurückgreifen. Dadurch wird der Netzwerkverkehr einzelner Schnittstellen entlastet. Natürlich sollten auch die VMs nicht nur mit einem einzelnen virtuellen Switch verbunden sein, sondern ebenfalls verschiedene virtuelle Switches nutzen, damit es auch hier keinen Single Point of Failure (SPoF) gibt.
Storage DRS mit vSphere
Die generelle Funktion von Storage DRS entspricht der DRS-Funktionalität für Hosts. Wenn die Leistung eines Datenspeichers zu stark beansprucht wird, kann vSphere einzelne VMs in einen anderen Datenspeicher verschieben. Dadurch werden stark verwendete Datenspeicher entlastet, während nicht so stark ausgelastet Datenspeicher in das System besser eingebunden werden. Das Storage DRS bietet die Möglichkeit, Ressourcen-Pools für Datenspeicher zu erstellen, welche generell die gleichen Funktionen haben wie die Ressourcen-Pools für Hosts.
iSCSI-, NFS-, Fibre-Channel-Speicher anbinden
Neben der Möglichkeit, lokalen Datenspeicher an die einzelnen ESXi-Hosts anzubinden, können auch Datenspeicher über den Netzwerkadapter angesprochen werden. In diesem Fall muss darauf geachtet werden, dass die virtuellen Switches entsprechend konfiguriert sind, und zum Beispiel für den VMkernel-Port ein Netzwerkadapter hinterlegt ist. Administratoren haben die Möglichkeit mit einem Software-iSCSI-Adapter in VMware zu arbeiten, oder sie binden die ESXi-Server mit einem Hardware-Adapter (HBA) an. Das ist auch generell der empfohlene Weg.
Hochverfügbarkeit bei vSphere beachten
Fällt ein Host aus, sind alle virtuellen Server auf dem Host beeinträchtigt. Es lohnt sich rechtzeitig darauf zu achten, den Host hochverfügbar abzusichern. Hier bietet vSphere verschiedene Möglichkeiten an, um einen Cluster aufzubauen. Auch kleine Unternehmen sollten darauf achten.
vSphere und Active Directory
Setzen Unternehmen vSphere in einer Umgebung mit Active Directory ein, können sie die Authentifizierung am Server auch über die Domänencontroller ablaufen lassen. Dazu muss der vSphere-Host mit dem Active Directory verbunden werden. In größeren Umgebungen werden die einzelnen ESXi-Hosts nicht einzelnen an das Active Directory angebunden, sondern verwenden den vSphere Authentication Proxy. Dieser muss richtig konfiguriert sein, damit die Authentifizierung funktioniert. Durch die Verwendung des vSphere Authentication Proxy wird die Sicherheit deutlich erhöht, da die einzelnen Hosts die Anmeldedaten nicht mehr speichern müssen. Sobald die die Anmeldung vorgenommen wurde, ist bei den kürzlich bearbeiteten Aufgaben zu sehen, ob die Anbindung funktioniert hat oder nicht.
Benutzer verwalten und Rollen zuweisen
Wenn vCenter installiert wird, muss auch eine Single-Sign-On-Domäne (SSO) angelegt werden. Diese ermöglicht es, dass zentral Benutzer und Gruppen angelegt werden können, die wiederum alle angebundenen Hosts verwalten dürfen. Im Active Directory sollte in vSphere am besten mit Gruppen gearbeitet werden. Dazu werden die Rollen so angelegt, wie diese im Netzwerk benötigt werden. Rollen werden den entsprechenden Gruppen zugeordnet. Dadurch können neue Benutzer hinzugefügt werden, ohne jedes Mal Rechte anpassen zu müssen.
Kennwortrichtlinien bearbeiten
Es muss darauf geachtet werden, dass Administratoren sichere Anmeldedaten nutzen, um ESXi-Hosts oder vCenter zu verwalten. Standardmäßig ist vSphere bereits so konfiguriert, dass sich die verwendeten Kennwörter nicht ohne weiteres auslesen lassen. Und vSphere ist bereits so eingerichtet, dass die Kennwörter komplex sein müssen. Verwenden Administratoren zu einfache Kennwörter, erhalten sie eine entsprechende Fehlermeldung. Die Richtlinie sollte aber überprüft werden. Hier lassen sich wichtige Änderungen bezüglich der Sicherheit vornehmen.
Virtuelle Maschinen härten
Grundsätzlich ist das Gastbetriebssystem in einer VM genauso angreifbar wie das Betriebssystem auf einem herkömmlichen Server. Das Gastbetriebssystem sollte daher gehärtet werden. Zusätzlich können auch Sicherheitseinstellungen in vSphere gesetzt werden.
Während es bei der Härtung des virtuellen Betriebssystems darum geht, dass das Betriebssystem selbst nicht angegriffen wird, können Administratoren über die Absicherung der eigentlichen VM sicherstellen, dass keine unberechtigten Änderungen an der Systemstruktur einer VM durchgeführt werden.
Folgen Sie SearchDataCenter.de auch auf Twitter, Google+, Xing und Facebook!