Merhabalar,
10 Mart 2020 itibarıyla, VMware vSphere 7 versiyonunun duyurusu yapıldı. Bu yeni ve major versiyon ile artık cloud altyapısına adım attığımızı da görmekteyiz. Yeni versiyonda birçok yeni özellik var ve hepsi başlı başına bir makale konusu niteliğinde. Fakat bu duyuru yapılmadan kısa bir süre önce, VMware Project Pasific ile alakalı makalemde, V7 nin temellerini oluşturacak olan bir çok detaya da değinmiştim. VMware Project Pasific ile ilgili makaleme aşağıdaki linkten ulaşabilirsiniz.
vSphere’in yanında aynı zamanda VMware Tanzu portföyü ve VMware Cloud Foundation ürünlerinin de duyurusu yapıldı. Uygulamalarını modern uygulama ortamlarına yükseltmek ve bunları dağıtma yeteneklerine kavuşmak isteyen kullanıcılar için vSphere 7’nin güvenlik, performans ve esneklik özellikleri ile VMware Cloud Foundation ürünü daha güçlü duruma geliyor. Böylece süreçlerinizde ve altyapı teknolojilerinizde herhangi bir kesinti yaşamadan, dijital dönüşüm yolunda ileri adımlarınızı da atmanızı sağlayan bir ürün grubu ortaya çıkmış oluyor.
Aşağıdaki tablo ile, vSphere 7 üzerinde odaklanılan konuların aslında bir özetini görmekteyiz. Tabi ki her bir bileşen içinde konuşulabilecek çok fazla detay da var. Ama bu makalede çok teknik detaylara boğmak istemiyorum sizleri.
Şimdi bu özellikleri ve geliştirmeleri incelemeye başlayalım.
vSphere with Kubernetes
vSphere 7 özelliklerinin ilki, Kubernetes entegrasyonlu, geliştirilmiş versiyon vSphere’dir (Bilinen adıyla Project Pacific). Bu büyük bir gelişme ve hem VM’leri hem de container’ları desteklemek için vSphere’in nasıl dönüştürüldüğünü ve evrimleştiğini gösteren bir konudur. Tanzu Kubernetes Grid Service, müşterilerin vSphere ile tam uyumlu ve uyumlu Kubernetes’i nasıl çalıştırabileceğidir. Bununla birlikte, açık kaynaklı projelere tam uyum gerekli olmadığı durumlarda da, vSphere Pod Service, VM bazlı izolasyon yoluyla optimize performans ve gelişmiş güvenlik sağlamaktadır. Bu seçeneklerin her ikisi de VMware Cloud Foundation aracılığıyla kullanılabilir durumdadır.
En önemli geliştirme, uygulama geliştiricilerin modern uygulamalar oluşturmak için kullandıkları endüstri standardı araçları ve arayüzleri kullanmaya devam etmesini sağlayan Kubernetes’in, vSphere’e entegre edilmesidir. vSphere altyapı yöneticileri için de ayrıca avantaj sağlar çünkü Kubernetes altyapısını, vSphere etrafında geliştirdikleri becerileri ve ilgili araçları kullanarak yönetebilir durumdadırlar.
Bu iki dünya arasında köprü kurmaya yardımcı olmak için, NameSpace adında yeni bir vSphere yapısından bahsetmiştim ve bu yapı sayesinde vSphere Yöneticilerinin, uygulama merkezli bir yaklaşım sağlayan mantıksal kaynaklar, izinler ve politikalar oluşturmasına izin verilmektedir.
Eğer Kubernetes sizin radarınızda değilse, bu sürümde hala birçok yeni ve geliştirilmiş özellik olduğunu bilmeniz iyi olur. Aslında bu sürümde, en ileri özelliklerden ve temel taşlardan olan DRS ve vMotion için ileriye doğru büyük adımlar atıldı.
Improved Distributed Resource Scheduler (DRS) – Geliştirilmiş DRS
vSphere DRS, hem container’lara hem de VM’lere daha iyi hizmet vermek üzere yeniden tasarlandı. DRS, Cluster yük durumuna ve vMotion için cluster yük dengesini en iyi şekilde sağlamak üzere vMotion’a gönderilecek VM taşıma önerilerindeki algoritmalara odaklanır. Bu, DRS’nin cluster çapında bir standart sapma modeli kullanarak cluster yük dengesi elde etmek için kullanıldığı anlamına geliyordu.
Peki, tek başlarına VM’ler ne olacak? vMotion işlemi, taşınan bu VM’i veya VM’in eski veya yeni komşularını nasıl etkiler? Yeni DRS mantığı, bu soruları ele alan çok farklı bir yaklaşımı benimsiyor. DRS, ESXi sunucular üzerinde bir VM için DRS puanı hesaplayarak bu VM’i en yüksek VM DRS puanını sağlayan bir ESXi sunucu üzerine taşır. Eski DRS versiyonundan en büyük farkı, artık ESXi yükünü dengelememesidir. Bu, yeni DRS’in artık ESXi sunucu utilizasyonunu daha az önemsediği ve VM’lerin sağlık durumlarına öncelik verdiği anlamına gelir. VM DRS puanı da her dakika hesaplanır ve bu da kaynakların çok daha ayrıntılı bir optimizasyonuyla sonuçlanır.
Assignable Hardware – Atanabilir Donanım
vSphere 7’de, müşterilerin donanım hızlandırıcıları kullanma ihtiyaçlarına yönelik olarak, vSphere özellikleri için desteği genişletmek amaçlı ve “Atanabilir Donanım” adı verilen yeni bir çerçeve geliştirildi. Passthrough PCIe aygıtı veya NVIDIA vGPU ile donatılmış VM’ler için vSphere DRS (bir VM’in bir cluster’a ilk kez yerleştirilmesi için) ve vSphere Yüksek Kullanılabilirlik (HA) desteği de sunulmaya başlanmış oldu.
Atanabilir Donanım ile bağlantılı olarak, PCIe aygıtlarını doğrudan bir VM’e gösterecek şekilde geçişi yapılandırmanın yeni bir yolu olan yeni Dynamic DirectPath I/O özelliği kullanılmaktadır. Bir PCIe aygıtının donanım adresi artık doğrudan sanal makinenin yapılandırma (vmx) dosyasına eşlenmiyor. Bunun yerine, artık VM’e bir PCIe cihazı yeteneği kazandırılmış oluyor.
Dynamic DirectPath I/O, NVIDIA vGPU ve Atanabilir Donanım, birlikte bazı yeni işlevlerin önünü açan güçlü ve yeni bir birleşime dönüşüyor. Örneğin, NVIDIA V100 GPU gerektiren bir VM’e bakalım. Atanabilir Donanım, artık böyle bir aygıtın bulunduğu bir ESXi sunucuyu bulmak, bu aygıt için hak talebinde bulunmak ve VM’i bu ESXi sunucu üzerine register etmek için, VM açıldığında (ilk yerleşim) DRS ile etkileşime girecektir. Bir ESXi sunucu arızası olduğunda ve vSphere HA devreye girdiğinde, Atanabilir Donanım ayrıca bu VM’nin gerekli donanıma sahip uygun bir ESXi sunucu üzerinde yeniden başlatılmasına izin verir.
vSphere Lifecycle Manager – Yaşam Döngüsü Yönetimi
vSphere Lifecycle Manager, vSphere 7’nin, yaşam döngüsü işlemlerini daha iyi hale getirmesini sağlayan bir dizi yeni özellik sunar. vSphere Lifecycle Manager ile hem vCenter Sunucu hem de ESXi sunucu yapılandırma yönetiminde değişiklikler var. İstediğimiz durum yapılandırma modelini kullanarak vSphere yöneticileri, vCenter Server Profilleri ve Image Cluster Management adı verilen yeni araçlarla yapılandırmaları bir kez oluşturabilir, uygulayabilir ve bu durumu izlemeye devam edebilir duruma geliyorlar. vCenter Sunucu Profilleri, yöneticilerin tüm vCenter Sunucuları için bir yapılandırmada standartlaşmasını ve yapılandırma sapmasına karşı koruma sağlamak için ortamı izlemelerini sağlar.
Cluster Image Management, yöneticilerin cluster düzeyinde, cluster içindeki ESXi sunucuların nasıl yapılandırılacağını belirten imajlar oluşturmasına olanak tanır. Bir cluster image, vSphere (ESXi) sürümünü, bir satıcı eklentisini (altın ESXi görüntüsü ile VUM terminolojisindeki OEM ISO arasındaki delta olacaktır) ve vSphere Lifecycle Manager’ın izin vereceği bir üretici yazılımı eklentisini içerebilir.
Üçüncü olarak, vSphere Lifecycle Manager içinde vCenter Server Update Planner var. vCenter Server Update Planner, müşteri ortamlarını başarılı bir şekilde planlamanıza, keşfetmenize ve yükseltmenize yardımcı olacak yerel araçları sağlamaktadır. vSphere Client uygulamasında bir yükseltme mevcut olduğunda doğrudan bildirim alırsınız. Ardından, mevcut yükseltmenin ortamdaki diğer VMware yazılımlarıyla uyumlu olduğundan emin olmak için VMware ürün birlikte çalışabilirlik matrisini (VMware product interoperability matrix) kolayca izlemek için Güncelleme Planlayıcı kullanılır. Yükseltmeye başlamadan önce sürüm uyumluluğuna yardımcı olması için mevcut bir ön kontrol paketi çalıştırılır. Böylece problemsiz bir yükseltme işlemi de yapılmış olur.
vCenter Server Update Planner’ın yalnızca vSphere 7 ve sonraki sürümleriyle çalışacağını belirtmek isterim. Bu nedenle, Update Planner vSphere 6.x sürümünden vSphere 7 sürümüne yükseltmenizi planlamanıza yardımcı olamaz, ancak vSphere 7’yi çalıştırdığınızda yükseltmelerinizi büyük ölçüde basitleştirecektir.
Yenilenen vMotion Teknolojisi
DRS’de olduğu gibi, bugünün iş yüklerini desteklemek için vMotion’ın nasıl geliştirildiğini inceleyelim öncelikle.
SAP HANA ve Oracle veritabanı backend sunucular gibi geniş bir bellek ve CPU footprint’e sahip VM’ler, vMotion kullanılarak canlı olarak taşınmakta zorlanıyorlardı. vMotion işlemi sırasındaki performans etkisi ve geçiş aşaması sırasında potansiyel olarak uygulamaların uzun farkındalık süresi, müşterilerin bu büyük iş yükleri için vMotion’u kullanmaktan rahatsız olmadıkları anlamına geliyordu. VSphere 7 ile, vMotion mantığı büyük ölçüde geliştirildi.
Yüksek düzeyde, vMotion birkaç işlemden oluşur. Çoğu sanal makine için bu işlemler, çok hızlı bir şekilde, genellikle fark edilmeyecek kadar hızlı bir şekilde yürütülebilir. Büyük CPU ve bellek atamalarına sahip VM’ler için bu işlemler fark edilebilir ve hatta VM içinde çalışan uygulamanın, bir sorun olduğunu düşünmesi için yeterince uzun sürebilir. Bu nedenle, bu işlemlerin birkaçı, daha büyük VM’ler için vMotion sorunlarını azaltmak üzere geliştirilmiştir. Böyle bir işlem, vMotion’ın taşıma sırasında memory paging aktivitelerini izlediği sayfa izleyicileri (page tracers) kullanır. vSphere 7’den önce, VM içindeki tüm vCPU’larda sayfa izleme tekniği gerçekleşiyordu ve bu da VM’nin ve iş yükünün migration aktivitesinin kendisi tarafından kaynak kısıtlamasına neden oluyordu. vSphere 7 ile sayfa izleme için özel bir vCPU kullanılır, bu da VM’nin ve uygulamalarının vMotion işlemleri gerçekleşirken çalışmaya devam edebileceği anlamına gelir.
Geliştirilen diğer bir işlem de bellek kopyasıydı (Memory copy). vSphere 7’den önce, ESXi sunucular arasında 4 k page bellek aktarılıyordu. vSphere 7 artık bu veri aktarımını çok daha verimli hale getirmek için birkaç optimizasyonla birlikte 1 GB page kullanıyor. Stun time (Sersemletme süresinin) 1 saniye hedefi içinde kaldığından emin olmak için (ESXi sunucular arasında geçişin gerçekleştiği zaman), VM durumu ve bellek sayfalarının bitmap’i aktarılır. Bu sersemletme süresi önemlidir ve çok büyük memory’li VM’lerde, bu bitmap’i istenen 1 saniyeden daha kısa sürede aktarmak zorlaşır. Bu nedenle, büyük VM’ler için yüzlerce megabayt boyutundaki bitmap’in tamamını aktarmak yerine, yalnızca gerekli sayfalar aktarılır. Sayfaların çoğu aslında orijinal aktarımdan hedef ESXi sunucu üzerindedir, böylece aktarım süresi, saniyelerden milisaniyeye indirilmiş olur.
Temel sonuç, vMotion artık en büyük VM’ler için bile kullanılabilecektir.
Intrinsic Security – İç Güvenlik
Güvenlik geliştirmelerinin en etkili yollarından biri, iyi şifre politikalarıdır ve bunu yapmanın en kolay yollarından biri çok faktörlü kimlik doğrulamayı (MFA) uygulamaktır. Asıl sorun, MFA’yı uygulamanın birçok yolu olması ve vCenter Server’ı hepsini kullanarak genişletmenin neredeyse imkansız olması. Ayrıca, VMware bazılarını uygulasa bile, birçok müşterinin kurumsal kimlik yönetim sistemlerinde halihazırda sahip oldukları kullanılmaya devam ediliyor, dolaysıyla vSphere yöneticilerinin yönetim yeteneklerini geliştirme prensibine aykırı bir durum ortaya çıkıyor.
Çözüm, OAUTH2 ve OIDC gibi açık kimlik doğrulama ve yetkilendirme standartları kullanan federasyon yapısında. vSphere 7 ve Identity Federation ile, vCenter Server bir kurumsal kimlik sağlayıcısı ile konuşabilir ve vSphere yöneticileri ile vCenter Server’ı bu işlemlerin dışında tutabilir. Bu, vSphere yöneticisinin işini basitleştirir ve uyumluluk denetim kapsamının azaltılmasına yardımcı olur. Ayrıca, Active Directory Federasyon Hizmetleri (ADFS) gibi yapılara nasıl bağlanacaklarını zaten bildikleri için birçok farklı MFA yönteminin kapısını açar. vSphere 7, kutudan çıktığı anda ADFS’yi destekler durumdadır.
Ayrıca, Bare-metalden tüm iş yüklerine kadar tüm yığın boyunca güven oluşturulmasını kolaylaştırmaya yardımcı olan vSphere Trust Authority’yi (vTA) kullanılır. vSphere Trust Authority, onaylama görevini üstlenen küçük, ayrı olarak yönetilen bir ESXi cluster yapısı kullanarak bir hardware root trust oluşturur. UEFI Secure Boot işlemi ile, Güvenilir Platform Modülünün (TPM) ve harici bir hizmetin, ESXi sunucunun iyi bir yapılandırmada olduğunu ve orijinal yazılım çalıştırdığını doğrulaması için şifreleme kullanılır.
VSphere 7’de vTA, güvenilen ESXi sunucuların anahtar yönetim sistemleri (KMSes-Key Management Systems) ile iletişimi devralmasını sağlayarak kuralların uygulanmasını sağlar. Bu, risk denetimini basitleştiren KMS’lere olan bağlantıları kolaylaştırır ve aynı zamanda onaylamada başarısız olan bir ESXi sunucunun, secret’lara erişmemesini sağlar. Bu secret’lar olmadan, ESXi sunucu encrypted bir VM’i çalıştıramaz. Güvenilmeyen bir sunucuda güvenli bir VM olması da imkansızdır öyle değil mi? J
Sertifika yönetimi ile, yönetilmesi gereken sertifikaların miktarı azaltılmıştır. Kullanıcı sertifikalarının artık yönetilmesine gerek yoktur ve ESXi hizmetlerinin ortak bir sertifika kullanması için sistem basitleştirilmiştir. VMware Certificate Authority (VMCA)’den bir sertifikanın yenilenmesi gibi işlemler için bir REST API’si kullanılmaktadır ve bu da sürecin otomatikleştirilmesini kolaylaştırmaktadır.
Diğer geliştirmeler
vCenter Server mimarisi artık daha da basitleştirildi. vSphere 7 ile artık external Platform Services Controllers (PSC’ler) veya Windows üzerinde vCenter Server’ı dağıtma olanağı yoktur. Bu tür dağıtımlardan birine sahipseniz, vCenter Server 7 yükleyicisi, o vCenter Server örneğini embedded PSC’ye sahip bir vCenter Server sunucu ortamına otomatik olarak migrate edilir.
Yeni CLI Araçları ve vSphere Client içindeki geliştirilmiş bir Developer Center için, birden fazla NIC desteği de vCenter Server Appliance’a eklendi. Yeni VM hardware version 17 ile, PTP desteği için hassas bir clock, vSGX ve clustered uygulamaları izlemeye yardımcı olmak için virtual watchdog gibi özellikler de sayabileceğimiz geliştirmeler arasındadır.
Özet
vSphere 7 gerçekten önemli ve oyun değiştiren bir versiyon olacak ve artık vSphere 7, hybrid cloud için bir geçiş adımı.
İlk bakışta vSphere 7 yeniliklerini sizlerle paylaşmaya çalıştım. Elbette ki çok daha kapsamlı özellikleri, teknik detaylarıyla birlikte ilerleyen makalelerde paylaşmaya devam edeceğim.
Yararlı olması dileğiyle.
Yusuf İşleyen