VCSA负载均衡
您可以为每个站点使用第三方负载均衡器来为该站点配置带有自动故障转移的平台服务控制器高可用性;
为了提供更高级别的可用性,可以将两个或多个平台服务控制器实例配置为使用相同的vCenter单点登录域(分成多个站点),并将其置于负载均衡器之后。每个vCenter服务器实例都被配置为与负载均衡器通信,负载均衡器在主动-被动配置中使用平台服务控制器实例。如果活动的平台服务控制器实例失败,负载均衡器将重定向到第二个平台服务控制器实例,而vCenter服务器实例将继续运行。
Vcenter server APIs:
API是应用程序接口,描述一个库类的特征;
比如说我们有一个可以允许我们查看(view),创建(create),编辑(edit)以及删除(delete)部件的应用程序。我们可以创建一个可以让我们执行这些功能的HTTP API
Rest 是用来描述创建HTTP API的标准方法的;
他发现这四种常用的行为(查看(view),创建(create),编辑(edit)和删除(delete))都可以直接映射到HTTP 中已实现的GET,POST,PUT和DELETE方法。
包含一个开发人员友好的、自动化友好的基于rest的API和简化自动化和开发的接口。使开发人员能够以编程的方式远程管理VC
- 用于VM管理的REST
- API简化和现代的API设计
- 能够方便地从标准工具访问自动化
- 在设计时考虑到了自动化和DevOps(用于促进开发的系统)
- 功能齐全的sdk, CLI,和工作流访问
VM自动化开发和vCenter server健康状况检查好处
- 减少API开发的复杂性和时间
- 通过现代自动化和开发过程获取一致性和可重复性
- 简化的API模型所有API样本的单一访问点
VCSA HA机制
vCenter server高可用性可以防止硬件和软件故障,并确保您的实现可以快速恢复:受保护的节点称为活动节点。还创建了被动节点和见证节点。如果活动节点失败,则被动节点将接管活动节点的角色。活动节点的状态被复制到被动节点,并在PostgreSQL数据库和配置文件中捕获。
在配置vCenter服务器高可用性之前,必须考虑几个因素。vCenter服务器设备部署可以使用内部或外部平台服务控制器实例
由三个vcsa实例组成,第一个实例初始用作主动节点,该节点被克隆两次,分别克隆为被动节点和见证节点
在不同的esxi实例上部署单独的节点可防止出现硬件故障,向DRS集群中添加三个ESXi主机可为环境提供进一步保护,vcenter ha配置完成后,只有主动节点具有活动管理界面(公共IP)三个节点通过HA 网络的专用网络通信
裂脑:两个节点互相人为对方已经挂掉了,然后开始争抢共享资源,结果会导致系统混乱,数据损坏,怎么产生:
高可用服务器之间心跳线链路故障,导致无法正常通信
部署VCSA
部署前提
验证所有vCenter服务器设备系统需求均已满足。
第一次安装vCenter服务器设备时,必须在安装vCenter服务器之前部署平台服务控制器:
如果使用嵌入式平台服务控制器实例部署vCenter服务器设备,则会自动执行此操作。
如果您安装带有外部平台服务控制器实例的vCenter服务器设备,则必须首先安装平台服务控制器,然后安装vCenter服务器。您必须提供正在执行安装或升级的主机的完全限定域名(FQDN)或静态IP。
VMware建议使用FQDN。您必须确保vSphere网络上所有机器上的时钟是同步的。
- 阶段1a,用户界面阶段:
接受EULA。
选择部署类型。
连接到目标ESXi主机或vCenter服务器系统以部署vCenter服务器设备。
定义vCenter服务器设备名称和根密码。
选择部署大小(内存、CPU)、存储大小和数据存储位置(瘦磁盘)。
定义网络设置。
- 第1b阶段,部署阶段:
OVF被部署到ESXi主机。
配置了磁盘和网络。
- 第二阶段,
配置阶段:
创建一个vCenter单点登录域,或加入一个现有域。加入客户体验改善计划
数据中心:
虚拟数据中心是所有库存对象的逻辑组织,需要完成一个完整的运行虚拟机的功能环境:您可以创建多个数据中心来组织环境集。Each数据中心都有自己的虚拟machines, hosts, templates, datastores, networks.
虚拟数据中心是一个容器,用于存放完成操作虚拟机的全功能环境所需的所有库存对象。您可以创建多个数据中心来组织环境集。例如,您可以为企业中的每个组织单元创建一个数据中心,或者为高性能环境创建一些数据中心,为要求较低的虚拟机创建一些数据中心。按功能分,或者按物理位置分
数据中心中的项可以放置到文件夹中。您可以创建文件夹和子文件夹来更好地组织系统。
采用层次化的结构,每个数据中心都有完整的环境
可以利用这种文件的结构形式,方便管理员进行角色权限配置
锁定模式
为了提高您的ESXi主机的安全性,您可以将您的主机设置为锁定模式。有两种锁定模式:正常模式和严格模式。当您启用正常锁定模式时,只有vpxuser具有身份验证权限。而且,用户不能直接对主机执行操作。只有根用户可以登录到DCUI。
锁定模式强制通过vCenter服务器执行所有主机管理。当主机处于锁定模式:
•您不能直接通过VMware主机客户端管理它。你不能从vSphere CLI上运行命令。
•直接访问主机的外部软件或管理工具无法检索或修改ESXi主机上的信息,除非将凭据作为例外用户添加到ESXi主机上。如果启用了正常的锁定模式,则只有根用户被授权登录到DCUI。如果主机上启用了严格的锁定模式,则DCUI服务将自动禁用。因此,即使根用户也不能登录到主机
在严格的锁定模式下,DCUI服务也会停止。如果到vCenter服务器系统的连接丢失,并且vSphere客户端不再可用,则无法远程管理ESXi主机。在这种情况下,只有在启用VMware vSphere ESXi Shell和SSH服务并将授权服务帐户添加到异常用户列表时,才能访问主机
vcenter 权限配置
访问控制系统使vCenterserver管理员能够定义用户权限来访问库存中的对象。以下概念很重要:
- 权限:
vCenter server system的权限模型依赖于为vSphere对象层次结构中的对象分配权限。每个权限都为一个用户或组提供一组特权,即所选对象的一个角色。每个角色决定不同的一组权限分配给不同的用户或用户组 - 特权:可以执行的操作。
- 角色:一组特权。对象:动作的目标
- 用户或组:指示谁可以执行操作
在vCenter服务器中执行任务的授权由访问控制系统控制。该系统允许vCenter服务器管理员详细指定哪些用户或组可以在哪些对象上执行哪些任务。
例如,您可以选择一个虚拟机对象,添加一个权限,将ReadOnly角色授予组1,并添加第二个权限,将Administrator角色授予用户2。通过为不同对象上的一组用户分配不同的角色,您可以控制这些用户可以在vSphere环境中执行的任务。例如,要允许组为主机配置内存,请选择该主机并添加一个权限,将角色授予包含host . configuration的组。内存配置权限
在vCenter服务器系统上,您只能将特权分配给经过身份验证的用户或经过身份验证的用户组。用户通过vCenter单点登录进行身份验证。必须在vCenter单点登录用于身份验证的标识源中定义用户和组。使用标识源(例如Active Directory)中的工具定义用户和组。
全局权限支持在来自全局根对象的解决方案之间分配特权:全局权限跨越解决方案,如vCenter Server和VMware vRealize®Orchestrator™。
通常,您对vCenter服务器编目对象(如ESXi主机或虚拟机)应用权限。当您应用权限时,您指定一个用户或组拥有一组特权,称为对象上的角色。全局权限赋予用户或组查看或管理部署中每个目录层次结构中的所有对象的权限。幻灯片上的示例显示,全局根对象对所有vCenter服务器对象都具有权限,包括内容库、vCenter服务器实例和标记。另一方面,vCenter server权限仅对vCenter server实例(VMware)中的对象有效
权限可以沿对象层次结构向下传播到所有子对象,也可以仅应用于直接对象。
除了指定权限是否向下传播外,还可以通过显式地为较低级别的对象设置不同的权限来覆盖较高级别的权限设置。在幻灯片上,用户Greg在训练数据中心被授予只读访问权限。此角色将传播到除Prod03-2虚拟机之外的所有子对象。对于这个虚拟机,grep是管理员
当一个用户是对同一对象具有权限的多个组的成员时,将为该用户分配分配给该对象的组的权限联合。
在幻灯片上,Group1被分配VM_Power_On角色,这是一个自定义角色,只包含一项特权:在虚拟机上运行的能力。Group2被分配了take_snapshot角色,这是另一个自定义角色,包含创建和删除快照的特权。这两个角色都传播到子对象。因为Greg同时属于Group1和Group2,所以他获得了培训数据中心中所有对象的VM_Power_On和take_snapshot特权。
在幻灯片上,Group1在培训数据中心被分配为管理员角色,Group2在虚拟机对象Prod03-1上被分配为只读角色。授予Group1的权限被传播到子对象。因为Greg同时是Group1和Group2的成员,所以除了名为Prod03-1的虚拟机(较低层的对象)之外,他在整个培训数据中心(较高层的对象)上拥有管理员特权,并对其进行只读访问。
为对象上的用户显式定义的权限优先于同一对象上的所有组权限。
在幻灯片上,有三个权限被分配给培训数据中心:
•Group1被分配给VM_Power_On角色。
•Group2分配了take_snapshot角色。
•Greg被分配为只读角色。
因为Greg同时是Group1和Group2的成员,所以还假设在所有角色上都启用了对子对象的传播。尽管Greg同时是Group1和Group2的成员,但他对训练数据中心及其下的所有对象具有只读权限。Greg获得只读权限,因为对象上的显式用户权限优先于同一对象上的所有组权限。
注:图片均来自vmware
