2015年12月23日水曜日

どうしたら VSANデータストア という巨大なバケツを破壊できるのか?

~本記事はvExperts Advent Calendar 2015に参加しています~

こちら
にBlogを寄稿・連載させていただいておりますが、
ここに書ききらなかった話をここで書き留めておきたいと思います。


VSANって大きなバケツとはいうけれど、
「壊れた時どうなるの?」「てか、大丈夫なの??」という話ばかり・・・

でも、ここで負けたらvExpertとしての名がすたる!
ええ、どうしたら壊れるのか、やってみようじゃありませんか!!なわけです。


で、壊れた時どうなの?という質問についてですが
よくあるクラスタファイルシステムのように身構えてしまうと、ファイルシステムの不整合とか、障害時の挙動などなど・・・
細かい気になるポイントが増えてしまうものです。

しかし、VSANはまったく考え方が違うので、まずはそこからお話をさせていただいています。


◆そもそも、なんでRaidが必要だったのか?

Raidのおかげで、HDD1本ではできないことができるようになりました。
 (1)耐障害性の向上・・・データの消失を防ぐ
 (2)キャパシティの向上・・・1本のHDDよりも大きなデータ領域を作成できる
 (3)性能の向上・・・15,000回転が限界の中で、性能を上げるために複数のディスクにデータを散らす

また、共有ストレージという専用機器を利用して、HAクラスタリングへの応用も可能になったわけです。



その反面、コストに見合った性能や無駄の内容量の活用などを十分に引き出すには、それなりの専門知識と、十分な設計や構成変更の検討時間が必要でした。

ちょっと使いたいだけなのに、LUNとか面倒なお作法が入り込んで、スピード感が損なわれるというのが、結局はサイロ化してしまう要因の一つではないでしょうか。

結局はデータがなくなると困るので、堅牢なストレージのお世話になるというのが現実でした。


◆VSANはどうやってデータ保護しているのか?

では、VSANはどうやってデータを保護しているのかというと
LUNもRAIDも必要ありません。

大きなバケツも実はありません。
ポリシを定義する管理上の名目に過ぎないのです。

一つ一つのHDDをVirtstoFSというフォーマットがかけられており、
異なるESXにVMDKをミラーをするという手法をとっています。


頑丈なバケツを作るのではありません。
壊れてもいいように、異なるESXへVMDKを多重化しておくという考えなのです。


◆ストレージがあることを意識させない PBM が最大のミソ

仮想マシンを作成するときに、何重でミラーするかを定義します。

実際には定義したポリシ(バケツ)にVMDKを作成すると、
あとは勝手に異なるESXへミラーリングしてくれます。


これまでですと、VMFSが壊れた時のインパクトを考えて、
LUNを分離するなんて対策もありましたが、そういったことは必要ありません。


◆ミラー専用?Witness専用?という考えもない

VM作成のたびに、VMDKごとにバラバラにデータが格納されます。
守るのは、筐体レベルで異なるホストにデータを配置すること。


何台ESXが壊れでも、データが動き続けるか?はFTT値で指定です。
FTT=1であれば二重ミラー、FTT=2であれば三重ミラーとなります。


◆つまるところ。。。

つまり、vsanDatastoreという大きなバケツは壊れません
(vCenter停止すればその間は設定できませんが。。。)



◆考え方を変える=SDDCへの道のり

ポリシーベースで運用すること(PBM)は、SDDCへの第一歩です。

特定のHardwareに縛られず、Softwareで実現する基盤の本質は運用の改善だと私は思います。
コストが安いというのもありますが、大事なのは運用をもっとより良く、ビジネスとIT運用のGAPをなくすために、Softwareのちからを借りることではないでしょうか。

もっとSDDCが実現される未来を目指しましょう!!



明日は interto さんです。





注釈・・・今回はデータ保護という考えを知っていただきたいため、キャッシュSSDのグラフィックは意図的に省略させていただいております。ご了承くださいませ。

2015年12月9日水曜日

今ホットなセキュリティを身近に感じよう! 〜MicroSegmentation〜



~本記事はvExperts Advent Calendar 2015に参加しています~
  http://www.adventar.org/calendars/980


自宅に検証環境がない!とお悩みの皆様に、
無料で使える Project NEE(Hands-on-Labs:通称HOL)をご紹介します。 

会社でなかなか機器を買ってもらえないので・・・いやいやNEEがありますっ!!! 

まだまだご存知でない人も多いことがわかりましたので、
改めてちょっとだけ書きたいと思います。 


今回は  
マイクロセグメンテーション(分散FireWall)にて、
どういうセキュリティ対策ができるのか?
を 皆様に体感いただくための心構えとその準備をご紹介します。 



◆まず、HOLのログインアカウントを作成します。 

 オンラインでサインアップはすぐに完了しますが、 
 本登録用のURLがメールで自動通知されますので、メール受信環境をお忘れなく。。 

下記のサイトにアクセス
http://labs.hol.vmware.com/
Login/Registerをクリック 
 

登録フォームに入力

メールが来るので、URLをクリック
秘密の質問とパスワード変更にて完了です。
 




◆ログイン 

ちなみに通信要件は
上記サイトへHTTPS(443/tcp)で通信ができることだけ。
 
手軽でしょ? 

◆DeepSecurity+NSXの連携を感じれるのは 「HOL-SDC-1425」 

おもむろに検索すると Asic Pacific Labs と HOL Archives に同じ番号が2つあるのですが、 中身はどちらも同じなので、今回はAsicPacificを選択


ちなみに、2016/11/1まで期限が延長されていますね。(ちょっと前までは 2015/12/1まででした)

◆2015/12現在のバージョンは 
      NSX 6.1
  DeepSecurity 9.5 
  と、完全に最新という状態ではありませんが、拡散防止を体で感じるには十分です。 


◆Labを登録したら、いざ開始 
 右側にあるマニュアルにしたがってすすめましょう。 






◆操作の大まかな流れは

 1)NSXやDeepSecurityなど基本的なインストールは全て済んだ状態なのをいろいろと見る。
 2)分散FWのグルーピング周りを設定 
 3)テストウィルスをダウンロードして発症させ、 
   実際に通信が自動で遮断されていることを確認 

これだけです。

”感染したらその場で自動的に遮断してくれる”
こんな素晴らしい技術を隠しておくなんて、もったいないと思います。 



◆あれ?vCenterが英語じゃん。。。 
 ブラウザの言語設定を日本語にしてみましょう。 
 マニュアルの冒頭にもありますが、HOLを使う上で必ず覚えておくべきことなので習慣づけると良いと思います。





◆もうひとつTips(ちょっと脱線) 
 キーボードを打つ時に、ANSIのオプション設定をお忘れなく 
 ソフトウェアキーボードでもOKですが、バックスラッシュの入力が必要なので注意です。


 特にMacユーザの皆様「Option - ¥」で入力するのをお間違えないよう! 


◆途中で休憩 
 途中で抜ける場合は、ブラウザの画面を閉じてください。
 終了ボタンは「実習完了=破棄」となりますのでご注意を 

 再開する場合は「登録」からできます。

◆そういえば、作業環境は WIndowsServer 2012R2なんですね〜



◆全画面にして快適に
 マニュアルは別画面にできますし、実はオフラインでも参照ができます。
 http://docs.hol.vmware.com/

 DeepSecurity+NSXはこちら
 (HTML版) http://docs.hol.vmware.com/HOL-2014/hol-sdc-1425_html_ja/
 (PDF版)  http://docs.hol.vmware.com/HOL-2014/hol-sdc-1425_pdf_ja.pdf



◆その他 
 VSANは HOL-SDC-1608 ですよっ!! 



明日は Kazumi Takata さんです。