Архив рубрики: techtalk

Как это работает?

Nutanix Acropolis OS — 5.9

Как вы помните, по новой модели time-based releases, мы выпускаем short-time support releases каждый квартал. В этом квартале вышел релиз 5.9

Сегодня релиз выложен для скачивания, и вот что в нем нового:

• Улучшена работа NearSync DR, это наша асинхронная репликация с циклом 1 минута, я писал о ней ранее в блоге.
Теперь в одном Protection Domain (PD) можно иметь и NearSync, и обычный Async. В PD с NearSync можно делать App-consistent Snapshots, а также one-time snapshots, выполняемые вручную, например для фиксации состояния VM перед изменениями в ней. Так как NearSync использует спциальные, Lightweight Snapshots, отличающиеся от обычных Snapshots, было ограничение на использование последних в PD с Nearsync. Теперь можно. Это, кстати, также означает, что backup решения которые используют наш механизм timestream snapshots, будут работать и на томах, реплицируемых NearSync.

• С этого релиза поддерживается ESXi 6.7

• Rack Fault Tolerance — это расширенный block awareness. Последний, если помните, возможнось раскладывать избыточные блоки не просто на разные ноды, но на ноды в разных блоках. С RFT это будет делаться еще и между рэками, если, например, кластер состоит из более чем одного рэка блоков. Это позволяет, потенциально, повысить отказоустойчивость, если авария затронет целиком рэк нодов.

• Metro Availability Support for Hyper-V 2016. Наконец-то к vSphere добавился Hyper-V. По-прежнему ждем Metro Availability для AHV

• Karbon (бывший Acropolis Container Services 2.0) выходит в статусе Tech Preview, в следующем релизе, 5.10 уже будет prodiuction ready. Karbon — это система, позволяющая развертывать кластер Kubernetes, со своей web-консолью, и Kibana для логгинга и мониторинга.

• Поддерживается NVIDIA Tesla V100 16 GB GPU в AHV

• Поддерживается RDMA для двух NIC на платформах G6: NX-3060-G6, NX-3155G-G6, NX-3170-G6, NX-8035-G6, NX-8155-G6 (не поддерживается на NX-1065-G6).

• Реорганизовано меню Settings в Web Console Prism (то, что раньше открывалось по щелчку по шестеренке справа). Так как настроек становится все больше, стало необходимым его переделать радикально.

NearSync replication — ограничения

В версии 5.5 у нас, в дополнение к нашей обычной асинхронной реликации с минимальным циклом «раз в час», добавилась еще и новая, которую мы назвали NearSync. Ее минимальный цикл — раз в минуту, и это может быть хорошим вариантом для тех, кому раз в час — редко, а синхронная репликация или не подходит, или слишком тормозит (например из-за расстояний между датацентрами).
Однако, как у любых фич, у NearSync есть ряд ограничений, которые хорошо знать, прежде чем вы начнете ей заниматься, планировать использование и использовать в работе.
Вот какие действующие ограничения есть в последней, на момент написания этого текста, версии AOS 5.8:

  • Поддерживается только репликация один-к-одному. С асинхронной можно разные конфигурации, например один-ко-многим.

  • Минимальное число нодов в кластере — 3, как для источника, так и для получателя. Соответственно, не работает на single-node и dual-node ROBO clusters.

  • В расписании для NearSync возможно указать только диапазон от 1 до 15 минут. Нельзя указать интервал от 16 до 59 минут. Начиная с 60 минут будет использоваться обычная Async.

  • Каждый SSD в кластере, участвующем в репликации, должен быть размером не менее 1.2TB. Оптимальный размер SSD для hybrid system — 2 x 1.9TB, для AllFlash ограничений нет. Не рекомендуется добавлять SSD размером меньше 1.2TB в кластер, который использует NearSync при его расширении.

  • Убедитесь, что в каждом Protection Domain, участвующем в NearSync репликации не более 10 объектов (VM или Volume Groups).

  • Система-получатель репликации должна иметь перед включением репликации свободного места столько же, сколько занимает защищаемый workset на системе-источнике.

  • Не включайте NearSync Replication в кластере, где есть узлы с более чем 40TB емкости хранения (SSD+HDD).

  • Поддерживаются гипервизоры ESXi и AHV на x86, не поддерживается AHV на IBM Power.

  • Поддерживается только гомогенный кластер. Не поддерживаются кластеры с разными гипервизорами (пример: ESXi и AHV на capacity nodes).

  • Linked Clones для VM, участвующих в NearSync replication не поддерживаются.

  • Не поддерживается CBT (Change Block Tracking), его пока нет в Lightweight Snapshots, используемых в NearSync.

  • Контейнеры, участвующие в Metro-репликации и в SRM — не поддерживаются.

  • Self-service Restore для реплицируемых с NearSync виртуальных машин не поддерживается (он есть только для full, а не для LWS снэпшотов). По той же причине не поддерживается интеграция для данных защищаемых NearSync VMs с Commvault, HYCU, Rubrick. Им всем нужны full snapshots, а не LWS.

  • Также для NearSync-protected VMs не поддерживаются AppConsistent Snapshots, они также используют full snapshots, а не LWS.

  • Не поддерживается NearSync репликация для AFS (Acropolis File Services).

  • Не поддерживается кросс-гипервизорная репликация.

Так что, как видите, NearSync подойдет не всем, и не является чем-то, заменяющим обычный Async, «тока быстрее». Для задач, которые требуют минимального RPO/RTO, например какая-то ответственная база данных, или аналогичная система, которой в самом деле надо иметь цикл репликации раз в минуту/в пять минут это должно неплохо подойти и ограничения легко обходятся. Для остального — по прежнем лучше использовать обычный Async.

Nutanix AOS 5.8 — новый релиз

Вообще, прошедшая неделя была богата анонсами (к сожалению, из-за рабочей занятости пишу о них спустя почти неделю).
Главная новость, конечно, это выход очередного нашего релиза, носящего номер 5.8.
Как я уже писал, мы в Nutanix перешли на новую модель выпуска релизов, становящуюся все более массовой, так называемые Time-based releases, при которых очередной софтверный релиз выпускается не когда будут закончены все запланированные в него новинки, а когда наступает календарный срок, как в Ubuntu, или как в нынешнем Windows 10.
Поэтому у нас раз в год будет выходить LTS, Long-time supported release, в котором будут все отработанные фичи, и который будет рекомендоваться для компаний, которым нужен stable продукт, подерживающийся максимально долго. Сейчас это версия 5.5. И потом будут три релиза, которые собирают в себе все самое новое, что мы выпустили за год, наш nightly build, для тех, кто хочет «все самое новое» и «передний край» разработки. Это не значит, что STS releases будут менее надежны или полны багов, совсем нет. Но если у вас нет необходимости в постоянных обновлениях, или есть строгие требования по сертифицированности ваших решений (требующих стабильной версии платформы) — выбирайте LTS, она будет поддерживаться максимально долго.
AOS — Acropolis OS, это, напомню, содержимое нашей CVM, Controller VM. Ключевая подсистема решения, то, где собственно и живет Nutanix как таковой. Виртуальная машина, в которой внутри, на базе CentOS Linux 7.x, работаю наши сервисы, обеспечивающие все, что делает Nutanix.

Итак, в версии AOS 5.8:

1. Добавляется GPG подпись для tarball, которые мы используем при обновлении системы. Если раньше для контроля целостности получаемого tar.gz использовался обычный MD5 hash, то теперь, дополнительно, скачиваемое обновление будет снабжаться GPG signature, чтобы быть уверенным, что никакой злонамеренный man-in-the-middle не подменил код, и не внедряет в кластер, под видом обновления, что-то постороннее.

2. В Prism Central, наш расширенный (и бесплатный, кстати) интерфейс управления добавляется механизм SAML аутентификаци, позволяющий использовать такие средства Single Sign-On аутентификации пользователя и Identity Provider, как, например, OKTA

3. SMB Sharing mode checks. Было несколько кейсов у пользователей Hyper-V, когда отдаваемый по SMB контейнер, бывал неправильно обрабатываем, и разные хосты одновреименно вносили в него изменения, что привлодило к его повреждениям. Теперь перед открытием доступа к контейнеру будет дополнительно проводиться проверка режима работы с ним. Эта модификация касается немногих пользователей, испльзующих Nutanix с MS Hyper-V.

4. Мы придумали, как будем лицензировать CALM. CALM — это наш встроенный оркестратор приложений в облаке, частном, на Nutanix, публичном, например AWS или GCP, и, наконец, гибридном, на котором часть приложений размещены на локальном «облаке» на платформе Nutanix, а часть ресурсов арендуется у публичного «облака». CALM встроен в Prism Central, и мы пидумали, как его лицензировать для пользователя. Сразу — хорошая новость, есть Free Tier, на 25 VM, то есть для задач на менее 25 VM вы можете пользоваться им бесплатно. Это немного, сразу скажу, но если вы выросли из 25 VM, значит ваша задача уже серьезная. Тут уже можно и деньги поискать.
Схема будет такая: первые 25 разворачиваемых VM — бесплатные всегда, и покупать на них лицензию CALM не надо. Считаются только активные, concurrent VM. Например, если вы запустили X машин, а потом пяь штук погасили и удалили, то 5 лицензий у вас освободилось, и может быть использованы на 5 других VM. VM считаются по их IP + VM ID, то есть просто выключить недостаточно.
Или еще пример. Пользователь развернул через CALM пять сервисов, по 2 VM каждая. Суммарное число лицензий — 10 (per VM). Потом он остановил и удалил два сервиса (то есть четыре VM). Значит, у него высвободилось на системе 4 лицензии, которые будут назначены следующим сервисам.
Лицензии будут продаваться паками по 25 штук (то есть на 25 VM). Первые 25 — бесплатны, дальше по количеству разворачиваемых VM в сервисах.
Что будет пр превышении — та же схема, что и с нашими обычными лицензиями, будет неблокирующий алерт и баннер в интерфейсе. Это сверхлиберальная политика в отношении лицензирования, и мы рассчитываем, что вы не будете злоупотреблять этим.

5. Фича, которой, напоминаю, нет в российских сборках Nutanix по причине непроходимой для нас процедуры ограничения импорта криптографии. Но так как меня читают не только в России, я пишу о ней все равно. Начиная с версии 5.5 в декабре у нас появилась возможность, кроме использования SED, Self-encrypted disks, использовать software-based encryption данных, записываемых на диски. На современных процессорах с hardware-assisted AES-NI это работает быстро и не создает заметных проблем с производитиельностью. Но если до версии 5.8 для хранения ключей шифрования были нужны внешние, сторонние KMS, Key Management Services, то теперь он у нас появился встроенный.
Само шифрование — AES-256, шифруются все кладущиеся на диски данные, не используются SED, то есть на обычных дисках обычных систем. Не зависит от типа гипервизора, то есть работает уровнем ниже и на любом из поддерживаемых гипервизоров. Идет сертификация FIPS 140-2 Level 1. SED сертифицированы на FIPS 140-2 Level 2. SED и software-based encryption можно использовать вместе, на одной системе, получая двухслойное шифрование (при этом, например, уровень SED будет незвависим от уровня контейнеров, лежащих на нем, и владелец ключа от контейнера А не будет возможности доступа ни к содержимому контейнера B, зашифрованному другим ключом, ни к уровню самих дисков, шифрующихся SED, и это можно использовать для формы multi-tenancy.
External KMS — это Gemalto SafeNet, Vormetric, IBM SKLM, Winmagic, Fornetix. Теперь к ним добавился наш собственный Native KMS, встроенный в Nutanix. Требуется минимум 3 ноды (он распределенный). Будучи включенным один раз, шифрование на кластере уже нельзя выключить без полного уничтожения и пересборки кластера.
Лицензия на Data-at-rest Encryption включена в Ultimate, а для прочих уровней есть Standalone license (но только для G6, Skylake CPU), и ее можно добавить, например, в Pro.

Насчет «недоступна в России» — да, для России собирается отдельная версия, с физически выпиленной фичей, к сожалению, у нас нет достаточно ресурсов и денег, чтобы пройти необходимые для импорта криптографии бюрократические препоны, мы не Cisco.
Предназначена эта фича, прежде всего, не для того, о чем вы сразу подумали, потому что тем, о ком вы сразу подумали, нет проблем изъять всю инфраструктуру, вместе с KMS. Обычно это нужно корпорациям, у которых предусмотрены мозговыносящие процедуры по списанию вышедших из строя или списываемых по старости носителей, хранящих корпоративную информацию. В случае применения шифрования у вас есть гарантия, что пока не взломан (в принципе, как алгоритм) AES-256, ваш данные с этих дисков считать в прочитываемом виде невозможно, и их можно просто выкидывать на помойку, вместо, например, физического уничтожения в шреддере для HDD (есть такие, слабонервным не смотреть).

6. Мы постепенно переводим на multiqueue всю внутреннюю кухню (не нужно думать, что для этого достаточно просто собрать бинарники с включенным ключом компиляции, там много внутренних сложных зависимостей в оригинальном коде Linux KVM). В 5.5 мы добавили AHV Turbo, это многопоточность и multiqueue для канала доступа к дискам, и тогда это дало на быстрых дисках, таких как NVMe и AllFlash почти двукратный прирост по производительности на мелких блоках, за счет распараллеливания ввода-вывода на множество доступных ядер, вместо стандартного — на одном CPU core. Появление у нас новых карт 25G и 40G Ethernet сделало необходимым то же самое проделать и с ними, так что теперь у нас есть две очереди, на два разных CPU core, вместо одной до сих пор. Преимущества от NIC multiqueue увидят главным образом владельцы систем с NVMe, RDMA и большим числом SSD (4+) в AllFlash.

7. Теперь включение Erasure Coding (EC-X) не ломает Block Awareness. Последнее — это поведение системы, когда у вас есть значительное число блоков, то есть групп нодов, собранных в одном физическом корпусе, совместно использующих корпус, бэкплейн и пару блоков питания, то в этом случае, при включении Block Awareness, система будет раскладывать блоки данных по нодам таким образом, чтобы они не собирались вместе на одном таком block, объединяющем несколько нодов. Потенциально, например, чтобы при потере сразу пары PSU, Power supply units, вы не потеряли при этом сразу несколько блоков данных, собравшихся хоть и на разных нодах, но в составе одного block, и отключившихся разом.

8. Наконец, мы планируем ввести Capacity License, особый вид лицензирования, который поможет нам решить одну, очень огорчительную для пользователй проблему, обуславливающую такую высокую стоимость лицензии Software-only Nutanix, приобретаемую на стороннюю платформу, например на HPE ProLiant, а не, например, покупаемую в составе appliance Nutanix NX.
Дело в том, что в составе appliance, состоящего из известного нам набора ядер, дисков и SSD, мы можем определить разумную цену за software часть решения. И стоимость софта на системе с парой процессоров 2620, одним SSD на 800GB и парой дисков SATA HDD сделать, со скидкой, сравнительно невысокой, соответствующей цене железной платформы. А на платформе с топовым процессорами, с большим объемом памяти, с множеством дисков и высокой производительностью (и ценой) — и цена софта может быть выше, и в целом получится сбалансированный по цене продукт.
Но, к сожалению, у нас нет таких механизмов в случае Software-only Nutanix. Мы не знаем, на какой платформе он будет запущен, поэтому вынуждены отпускать его пользователю по дефолтно максимальной цене. Это делает, например, бессмысленным установку SW-only Nutanix на слабые платформы, дешевле будет купить NX Appliance.

И вот, глубоко подумав, мы придумали схему с так называемыми Capacity Licenses, с помощью которых можно гибко формировать цену на Nutanix Software.
И теперь можно сделать так:

И, как результат, получается гибкая цена на Nutanix, в зависимости от мощности и возможности платформы, на которой он исполняется.

В итоге, все будет выглядеть примерно так:

Подобная гибкость позволяет формировать адекватную мощности платформы цену на SW-only Nutanix (а не запузыривать туда полный листпрайс без скидок, за 100% цены), и поможет продажам нашего Software-only Nutanix, то есть продажи его как софта на платформы HPE, Cisco UCS, Dell PowerEdge, а скоро и на платформы еще нескольких популярных вендоров.

Новости с .NEXT

В эти дни в New Orlean проходит наша большая ежегодная партнерская конференция, на которой, как обычно, представляют новинки и обнародуются планы. На днях там показали несколько новых интересных направлений развития Nutanix. Наверное это именно так надо называть, это не просто набор фич, перечисляемых в release notes, а вот прямо, на мой взгляд, направления развития компании.

Я не буду снова писать про Nutanix Flow, про инструмент сетевой микросегментации, встроенный в платформу Nutanix которая теперь называется Flow, я уже писал ранее, а в майском релизе она вышла в GA. Там добавилось несколько интересных возможностей, в частности с нашим недавним приобретением — Netsil.

С Netsil можно автоматически обнаруживать и анализировать приложения в VM, разбирать их топологию, категоризировать, и получать рекомендации по созданию и назначению им политик безопасности. Интеграция Netsil и Flow объявлена на вторую половину года.

Остановимся детальнее на оставшихся двух вчерашних анонсах.

Nutanix Era — это инструмент так называемого CDM — Copy Data Management, интересный, прежде всего, работающим с базами данных на Nutanix (а таких, напомню, почти половина из множества наши клиентов сегодня). Он поможет администраторам баз данных проводить операции с БД, например делать клонирование, восстановление или обновление баз данных, в том числе сложносвязанных, выполняемых на разных VM и расположенных на множестве томов данных (например отдельно файлы базы, отдельно — логи, отдельно — tempdb, бинарные файлы, локальные резервные копии, и так далее).

С помощью Nutanix Era dba может управлять всеми этими процессами жизненного цикла базы данных начиная от ее провижнинга, включая такие операции, как создание клонов или резервных копий для защиты данных. Например, для организации защиты данных dba может описать и назначить политики резервного копирования, работа с которыми будет интегрирована со сторонними решениями резервного копирования.
Клонирование или обновление данных в базе обычно также непростой процесс. Необходимо идентифицировать нужную копию данных, вместе с соответствующим ей набором логов, разместить эту копию на сервере, восстановить базу данных из копии, применить к ней записи из логов на нужный момент времени, затем, возможно, вовремя и корректно обновлять состояние данных этого клона базы, и так далее.
С десятками и сотнями инстансов современного большого Энтерпрайза все эти сложности возрастают в десятки и сотни раз, растут и шансы на ошибку, которая может стать фатальной для данных.

Инструмент Nutanix Era будет доступен пользователям во второй половине 2018 года.

В него предварительно будут входить такие функции, как One-Click time machine, использующая наши redirect-on-write снэпшоты для создания моментальных копий данных, и One-Click database clone/refresh, для уже описанного выше клонирования и обеспечения актуальности данных, нужного, например, для команд разработчиков.
Объявлено, что в список поддерживаемых баз данных уже попали Oracle DB и PostgreSQL, но этот список будет расширен популярными DB, такими, как MS SQL Server и MySQL (MariaDB).

Nutanix Beam — система мульти-облачного управления, результат интеграции в Nutanix разработчиков недавно приобретенных продуктов Minjar и Botmetric.
Начиная с представления в декабре Nutanix CALM движение компании к SaaS и гибридным облакам стало очевидным, это одно из наших новых направлений, и Nutanix уже не один из десятка разработчиков HCI, вот увидите, черз год-два такое обязательно будет и у VMware с HPE. :)

Nutanix Beam — это инструментарий оптимизации затрат при размещении инфраструктуры в облачных сервисах. Когда мы в Nutanix рассказываем и показываем CALM и Self-Service Portal, почти всегда задают вопросы про биллинг, или, по крайней мере инструменты для его построения. Вот Beam — один из шагов в этом направлении.

Nutanix Beam анализирует и отображает потребление облачных ресурсов как суммарное, так и с разбивкой и детализацией по приложениям, группам и бизнес-юнитам. Такая информация поможет бизнесу, IT-менджменту правильно оценивать и прогнозировать затраты подразделений и компании в целом на облачные сервисы.

Имеющиеся встроенные механизмы оптимизации, анализа затрат и неиспользуемых ресурсов, помогут экономить и правильно распределять ресурсы по облачным платформам.

Часто забытые старые снэпшоты, неиспользуемые больше тома с устаревшими данными, или инстансы RDS могут продолжать поедать ресурсы компании, с использованием Beam вы легко найдете подобные штуки.

Встроенный дашборд финансовой информации поможет проанализировать затраты облачной инфраструктуры и в целом, и с разбивкой по подразделениям, а также отследить тренды.

Важной возможностью Beam является то, что он позволяет оперировать затратами, например оценивая стоимость инстансов как вида on-demand, так и, например Reserve Instance (RI), в облачных инфраструктурах, например у Amazon Web Services (AWS) использование таких advanced методов заказа и покупки инстансов может быть одним из методов экономии немалых затрат.

Nutanix Beam доступен уже сейчас.

Диаграммы соединения сетевых портов для разных гипервизоров в Nutanix

Отличный пост в блоге коллеги, который я не буду копировать сюда, а просто оставлю на него ссылку:
сборник диаграмм сетевых портов Nutanix для разных гипервизоров.
Может основательно помочь в сетевом траблшутинге, настройке правил файрволлов и проброса портов на сетевой подсистеме датацентра, и так далее.

Картинка вам для привлечения внимания, а полный сборник всех диаграмм, для ESXi, Hyper-V, конечно же AHV, и даже для Xen Server — по ссылке:
vmwaremine.com/2014/09/19/nutanix-network-port-diagram/

Как изменить приоритеты или отключить HA для VM в Acropolis Hypervisor?

Как вы знаете, для всех VM в среде AHV включен HA, High Availability, который перезапускает VM в случае, например, выхода из строя хоста, где эта VM работает, и в ряде других случаев. Но что делать, если нужно для каких-то VM эту HA отключить, или, например, изменить приоритеты запуска, когда группа VM перезапускается в условиях ограниченных ресурсов, и мы хотим задать, какие VM должны быть обязательно перезапущены, а какие могут обойтись?

А вот как. На помощь придет командный интерфейс acli. Вы помните, что кроме красивого и визуального Prism, у нас есть еще и командная строка, проще всего доступная из интерфейса непосредственно CVM. Некоторые редкие и мало используемые команды, а также некоторые особо новые, находятся именно там.

Войдем в интерфейс aCLI, например в консоли CVM, просто напишем в командной строке acli и попадем в него, поймем, что мы уже там, по изменившемуся виду подсказки (ну и зелененький он)
nutanix@cvm$ acli
<acropolis> _

Допустим, наша VM называется winxpsp3vmw. Отдадим команду, указав в качестве параметра ha_priority значение -1 (минус один). Это значение отключает работу HA для этой указанной нами VM (и только для нее)

nutanix@cvm$ acli
<acropolis> vm.update winxpsp3vmw ha_priority=-1
winxpsp3vmw: complete

Положительное же значение — включает HA, причем, чем меньше оно, тем выше приоритет HA, то есть VM со значением ha_priority=1 будет иметь выше приоритет выполнения HA, чем VM с ha_priority=2

Вернем нашей VM возможность перезапуска средствами HA

<acropolis> vm.update winxpsp3vmw ha_priority=2
winxpsp3vmw: complete

Наконец, раз уж мы заговорили про HA, стоит упомянуть, что в Nutanix есть возможность резервировать ресурсы в кластере, обеспечивая гарантированный перезапуск VM вышедшего из строя хоста, например. В этом случае, вы можете задать для инфраструктуры лимит, при наличии которого система не даст вам создать больше VM, занимающих ресурсы, чем этих ресурсов есть в системе. Это гарантирует, что все созданные VM будут иметь возможность переехать и запуститься даже при потере заданного числа хостов.
В GUI есть просто соответствующая галка в диалоге. Но вообще-то настройки в системе более гибкие.

HAReserveHosts — один или более физический хост резервируется для выполнения VMHA.
HAReserveSegmentsресурсы (одного или более хоста) резервируются на кластере в целом.

Например:

<acropolis> ha.update reservation_type=kAcropolisHAReserveSegments

В данном случае мы переключили режим резервации на резервирование ресурсов по всему кластеру в целом.

Обновление до G6 получают новые линейки платформ Nutanix

Я уже писал ранее про то, что Nutanix (или, правильнее сказать, Supermicro, наш поставщик платформ) в несколько этапов проводит обновление платформы на Generation 6, с поддержкой Intel Skylake, и прочих интересных штук. Ранее обновилась линейка NX-3000, а теперь пришло время и для других платформ. Уже опубликованы спеки для 1000-й серии, и я бы хотел остановиться на них подробнее.
Обычно мы привыкли, что «новая коллекция» это всегда лучше, мощнее, совершеннее, но в случае Nutanix G6 важно понимать, что «не все так однозначно»(tm). Давайте взглянем на спеки на https://www.nutanix.com/products/hardware-platforms/.

Мы пока сохранили, как и в случае NX-3000-G6, в продаже также и модели G5, и вот почему.
Надо сказать, что NX-1000-G5 получилась весьма удачной. Их и продается очень много у нас по всем миру, и, объективно говоря, получилась «вишенка».
Смотрите сами: два доступных процессора для этой, недорогой системы подобраны как E5-2620 [16 cores / 2.1 GHz] и E5-2640v4 [20 cores / 2.4 GHz]. То есть и ядер ОК, и гигагерцы, например в 2640, вполне ничего себе. Это не 3.4, но тоже, для «энтрилевела», очень неплохо.
А для G6 у нас для NX-1000 пойдут также два процессора, но это: Silver 4108 [8 cores / 1.8 GHz] и Silver 4114 [10 cores / 2.2 GHz]. Как видите, тут и частота меньше, и ядер меньше (спасибо за поправку в комментах, ошибочно у нас на сайте в спеке для G5 указано число ядер для пары CPU, а для G6 — на один CPU). Да, SkyLake. Но если вам нужны именно pCPU cores или частоты, тут есть над чем подумать.

Второе: система NX-1000-G6 будет доступна только в «гибридном» виде, а G5 можно было заказать в AllFlash (причем были доступны даже SSD на 3.84TB), и это была бомба для entry-level, с нашими эффективными и быстрыми SSD такой AllFlash рвал все подряд. Для такой конфигурации это дает нам 41TB usable space на 4 нодах и при компрессии 2:1

Кроме этого, в «гибридном» для G5 были доступны диски 8TB, а для G6 максимум — это 6TB. Это, в свою очередь, 62.28TB гибридной емкости на тех же 4 нодах.

Наконец, в третьих, для G6 будет доступна максимальная память — 384GB RAM, а для G5 были возможны объемы и 512, и даже 1TB на ноду.

В общем, по всему видно, что в G6 наши инженеры попробовали сделать серию NX-1000 более «энтрилевелной», чтобы не каннибализировать «мидрендж» NX-3000, потому что, очевидно, многие смотрели на линейку G5, и всерьез зависали над тем, нужно ли им взять NX-1000 в топовой набивке, например, или allflash для скорости, или с дисками 8TB для емкости, да еще и с таким богатством по RAM, или идти в 3000-ю, которая может получиться заметно дороже просто потому что это более старшая платформа. Если не нужны CPU выше 2640, то тут есть на чем зависнуть.

Из хорошего, ну, конечно, кроме новых CPU, в новых платформах G6 будет пара 10G портов «в базе», на модуле SIOM, и, в принципе, это позволяет не добавлять порты на add-on card. Но можно добавить еще пару или аж четыре 10G, так что с 6 портами 10G это будет довольно упакованная сетевыми интерфейсами система.

В общем, выводы мои такие: если вы раздумывали, нужно ли вам NX-1000-G5, или стоит дождаться G6, то, как мне кажется, есть немало случаев, когда купить сейчас G5 будет выгоднее. Хотя, конечно, если вы глядите на конфигурацию, не превышающую лимиты G6, то такая может выйти и дешевле, чем G5.
Так что думайте, но не слишком долго, не для того мы выпускали G6, чтобы продолжать продажи G5. Распродадим имеющиеся платформы, и — ага.

Кстати, чтобы два раза не вставать: обратили ли вы внимание, что в линейке Dell появилась 4-процессорная модель XC940?
У нас такой модели пока нет, и хотя на сайте DellEMC теперь нужно постараться, чтобы найти модели XC (у меня такое ощущение, что человек не знающий о существовании этой линейки просто так их вообще не найдет, в особенности на русскоязычном сайте), она есть и продается.
Это Nutanix на платформе R940, с ЧЕТЫРЬМЯ процессорами SkyLake, вплоть до Platinum 8180, с 24 местами под 2.5″ диски, с поддержкой NVMe up to 3.2TB, до 60TB на ноду дисковой емкости, и до 4TB (!) RAM. Офигенная молотилка для сверхмощных баз данных, в особенности memory-based.

А в следующем посте я расскажу вам про нашу новую инициативу, которую мы вместе с Dell назвали DellEMC XC core.

UPD: В ближайшее время все же будет доступна конфигурация с 512GB RAM на ноду, модулями по 32GB.

Обновляете vSphere на v6.5? Проверьте HCL!

Я не раз встречаю пользователей, которые «засиделись» на 5.5, и вынуждены мигрировать на 6.х, откладывая это до последнего. «Последнее» начинает пригорать. vSphere 5.5 прекращает поддерживаться уже в сентябре, так что если осенью вы не хотите оказаться с неподдерживаемой системой — пора начинать бегать по потолку готовить процесс миграции на актуальные версии.
И тут я хотел бы в очередной раз напомнить о штуке, про которую, как я заметил, вспоминают всегда в последнюю очередь. Дело в том, что VMware с выходом каждой новой версии и Updates «чистит» свой HCL, не только добавляя новые, но и удаляя из него старые модели серверов. И в этом есть некоторая засада, так как вы вполне можете столкнуться с ситуацией, когда хорошие, еще не старые серверы, выполняющие свою задачу, на которых работает и поддерживается, скажем, vSphere 5.5, после обновления на 6.5 будут считаться неподдерживаемыми, и вы, в процессе апгрейда, получите инфраструктуру, которой будет отказано в вендорской поддержке, хотя, казалось бы, обновлялись, «чтобы было как лучше».

Так, например, на сайте HPE есть специальная страница, в которой вы можете обнаружить, что, например, популярные серверы HPE DL320e Gen8, ML350e Gen8, DL360e Gen8, и уж, понятное дело, DL360 Gen7 — не поддерживаются для ESXi 6.5 и новее.
Аналогичный список есть и у Cisco, и у других вендоров. А у самой VMware он расположен тут: VMware Compatibility Guide.

Так что, надеюсь, вы обойдетесь без сюрпризов в процессе обновления и миграции.
Ну и, как принято говорить, «чтобы два раза не вставать», хочу напомнить, что на платформах Nutanix вы можете также использовать vSphere, причем в одном кластере даже разные версии, например 5.5 и 6.0 или 6.5, что может быть хорошим вариантом для плавной и постепенной миграции инфраструктуры «сервер за сервером». Ну и, наконец, у нас есть «однокнопочная» конвертация кластера vSphere в кластер AHV, решающая окончательно проблему с апгрейдом на новую vSphere с ее веб-клиентом, и прочим админским геморроем.

Почему SSD на СХД «классике» такие медленные?

Вот что пишет, например, HPE в своем официальном гайде по сайзингу HPE 3Par в отношении SSD:

На странице 11 написано:

1100 IOPS с диска 480GB MLC и 4000 IOPS для дисков 1920 и 3840GB ?!! Да, это официальный гайдлайн для сайзинга 2-Tier storage SSD+FC.
При этом знаете, сколько эти «SSD на 4000 IOPS» в листе у HPE стоят?

Ну, ОК, допустим в стритпрайсе эти диски не 26 тысяч долларов, существенно меньше. Может даже на 80% дешевле. ;)

Но как вы думаете, сколько этот же диск дает IOPS, по спекам вендора, то есть, будучи вставленным в обычный тестовый сервер, как локальный диск?

Вот диски, которые мы используем у себя в Nutanix, это популярная «серверная», энтерпрайзная серия Samsung SM863A, с высокими показателями надежности при большом трафике записи. Официальный сайт говорит следующее:

28 тысяч на запись блоками 4K, и 95 тысяч — чтения.

Куда делась разница?
Съелсь в latency.

Длинный путь блока, от приложения в OS, в буфера, в HBA, в буфера коммутатора, в кэш OS СХД, на диски, а, затем, в обратный путь, не позволяет приложению продолжать ввод-вывод со скоростью, которую мог бы обеспечить SSD, будь он «поближе» к серверу.

Но все меняется в случае архитектуры HCI, где диск расположен локально к процессору, где путь к данным от приложения в памяти сервера до дисков гораздо короче.

Это как раз то, что дает нам возможност показывать вот такие результаты:

Два с половиной миллиона IOPS на random read блоком 8K, используемым на нашей файловой системе DSF, при median latency менее 1ms.
На скриншоте — недавно установленный у заказчика 18-узловой кластер. Таким образом средняя производительность ОДНОГО сервера-ноды (с парой SSD включенных локально) в данном кластере 2 500 000 / 18 = 139 000 IOPS random read 8K, при тестовом datasize 12GB, то есть, в среднем, 69 500 IOPS с каждого SSD.

Как мне кажется, более чем убедительная иллюстрация, насколько важна архитектура HCI с новыми быстрыми flash-дисками. Старая, «классическая» архитектура просто не в состоянии дать им показать все, на что они потенциально способны. Устанавливая SSD в «классику» мы, по сути, хороним большую часть их потенциальной производительности.
Именно HCI потенциально способен дать SSD и NVMe шанс показать их скорость.

Nutanix Flow — микросегментация виртуальной сети

Микросегментация — это, наряду с другим нашим ключевым продуктом, облачным оркестратором Nutanix Calm, одна из наиболее важных новинок в вышедшем в конце декабря релизе AOS 5.5 (codename Obelix).
Так как Microsegmentation слишком длинное имя для коммерческого продукта, как продукт данная технология будет носить имя Nutanix Flow.

В релизе 5.5 мы, как это у нас принято, представили Tech Preview, своеобразную «гамма»-версию для ознакомления в тестовой среде, а в следующем обновлении, выходящем в конце февраля-марте, и называющемся 5.5.1, микросегментация будет объявлена финальным, «продакшн-реди» релизом, готовым к использованию.

Nutanix Microsegmentation (Flow) можно рассматривать как своеобразный встроенный в систему виртуализации AHV распределенный файрволл виртуальных машин, защищающий виртуальные машины внутри «облака» инфраструктуры.
Вместо привычной схемы, когда внешним файрволлом защищается «периметр» облака, но при этом, как правило, внутри облака сетевая защита обычно либо довольно примитивна, либо вовсе не используется, и «зловред», попавший внутрь облачного пространства имеет все возможности «гулять по буфету» среди слабозащищенных VM и перехватывать любой трафик, в Nutanix предлагают использовать защиту не только периметра инфраструктуры, но всей инфраструктуры, каждой виртуальной машины, причем эта защита встроенная, легко конфигурируема с помощью групп VM и назначаемых политик, не использующая механизма оверлейных сетей, типа VXLAN, и не требующая перенастройки сетевого оборудования.

Возможно вы возразите, что, при необходимости, изоляцию групп VM можно реализовать с помощью механизмов VLAN. Однако, сетевики не дадут соврать, для инфраструктур даже в несколько десятков VM, конфигурирование, а также поддержание в случае нормальной жизни фермы хостов виртуализации, сложной схемы десятков сегментов VLAN-ов скоро превращается в серьезную головную боль. А что говорить не о десятках, а сотнях, тысячах виртуальных машин, мигрирующих между десятками хостов виртуализации датацентра, в зависимости от их загрузки, или даже перемещающихся между датацентрами!
Сегодня в крупном бизнесе, не только хостинговом, это уже реальность.

Было бы здорово, если бы можно было привязывать сегмент сети не на уровне внешнего коммутатора, а применяя политику в конкретной VM в среде виртуализации! И, разумеется, такие решения начали появляться. Наиболее известным таким решением является VMware NSX, который, несмотря на свою высокую цену и сложность, нашел себя на рынке, хотя, безусловно, сложность реализации, как и цена, затрудняют его широкое использование.
Nutanix в этой области, как и с нашим гипервизором AHV, пошел путем, когда реализуется наиболее востребованная функциональность в первую очередь, и не ставится задача сделать «швейцарский нож» (который обычно, давайте начистоту, как нож — никакой). Именно поэтому, поглядев на то, какая функциональность NSX пользователями виртуальных сред, используется более всего, мы начали делать свой «энэсикс» с поэтессами.

Итак, Nutanix Flow — это наша собственная реализация концепции микросегментации для нашего гипервизора AHV, и пока только для него. Если вы используете в качестве гипервизора на Nutanix vSphere — для вас есть NSX. Мы хотели бы реализовать Flow для vSphere, но пока это планы не ближайшего будущего.

Так как Flow — полностью софтверная реализация, он также будет работать на продуктах наших OEM-партнеров, например Dell XC, Lenovo HX, и так далее, в том числе и на Software-only инсталляциях.

Для использования Flow вам нужен AOS 5.5 и новее, свежая версия AHV и Prism Central, наш бесплатный инструмент администрирования, работающий из appliance VM, например, там же, в среде Nutanix. Несмотря на то, что Flow «встроен в ядро» AOS, и будет работать в том числе и без Prism Central, для настройки политик нужен Prism Central.

Основные возможности Flow это:

  • Распределенный stateful firewall, интегрированный в ядро AHV, минимально загружающий CPU и память при работе.
  • Централизованное управление этим firewall, встроенное в Prism Central, использующее схему политик, автоматически обновляемых в ходе жизненного цикла приложений и VM.
  • Встроенная визуализация правил и применяемых политик.
  • Возможность настраивать service chaining, например, перенаправлять сетевые потоки на системы контроля, аплаенсы файрволлов, антивирусов, помещать VM или их группы в карантин, простым назначением политики группе, и так далее.

Как происходит формирование и назначение политики для виртуальной машины? В отличие от классической настройки правил файрволла, состоящей из указания source IP address/port, destination IP address/port и протокола, то есть привязанных к категории IP-адреса, Nutanix Flow базируется на концепции «групп приложений». Вы создаете (или используете из предустановленных) категорию AppType (например: AppType:Microsoft Exchange), затем дополняете ее категорией AppTier (например: AppTier: Edge Transport Server или AppTier: Mailbox Server), и, наконец, связываете VM с соответствующей категорией в группу, которой в дальнейшем назначаете политику. В политике вы можете определить и задать inbound flows, которые могут быть ограничены набором источников, например, ими могут быть другие группы и категории, а также задать исходящие flows. Последние по умолчанию открыты, но вы также можете задать в них группы и категории.

В Nutanix Flows существует три типа политик: Application policies, Isolation policies и Quarantine policies.
Первая, application policy, может применяться для защиты приложений в VM, путем выборочного задания входящих и исходящих потоков к приложению и от него.
Вторая, isolation policy, применяется для изоляции всего трафика групп, например, отделить группу «DevTest» от «Production», «HR» от «Finance» или «MoscowDC» от «StPetersburgDC».
Наконец, третья, quarantine policy, применяется для полной изоляции группы или контейнера от всех прочих VM и приложений, например, в случае необходимости расследования инцидента взлома, подозрений на вирус, и так далее.
Политики могу комбинироваться между собой, при этом приоритет комбинирования политик осуществляется в порядке: Quarantine — Isolation — Application. То есть, например, назначение политики карантина автоматически перекрывает все действующие ниже по приоритету политики Isolation и Application, немедленно после ее применения.

Сложные схемы действия и комбинации упрощаются наличием специального monitoring mode, при котором созданные политики применяются в специальном тестовом режиме, позволяя проверить правильность настроек пред фактическим применением политик.

Ну и, конечно, облегчает процесс настройки и назначения политик наш интерфейс визуализации.

Например, мы хотим подразделению HR в группе San Jose разрешить доступ к отправке электронной почты на Edge-сервер по порту SMTP. Необходимая политика в визуальном редакторе будет выглядеть:

А если мы захотим пропускать исходящий трафик через service chain, например через application-level firewall, просто добавим его, щелкнув ниже на галку Redirect through service chain и выберем нужный firewall в списке.

Nutanix Flow не использует оверлейные сети, например, VXLAN, что существенно упрощает настройку и использование, и не требует специального отдельного контроллера SDN. Вся работа осуществляется на стандартных сетевых уровнях. Например, firewall в Flow работает на уровне L4 (TCP), и осуществляет stateful проверку сетевого трафика с L2 по L4 включительно. При этом, при необходимости более глубокой проверки на уровнях выше L4, возможна интеграция со сторонними продуктами, так, например, уже реализована совместная работа с Palo Alto Networks PANW VM-series firewall, для контроля трафика вплоть до Application Layer (L7). Если у пользователя уже развернуты свои средства firewall, они могут продолжать работать параллельно с Flow.

Обычно, для начала использования Flow не требуется изменений в топологии сети, если она уже сконфигурирована у пользователя. Все операции Flow происходят внутри виртуальной инфраструктуры, на AHV vSwitch. Политики, назначенные VM, продолжают исполняться даже в случае изменения выданного VM IP-адреса (при этом используется ARP spoofing, чтобы идентифицировать VM и ее новый IP, и обновить установки политики), и в случае переезда VM на другой хост.

Пока не поддерживается и не обрабатывается трафик IPv6 (но мы планируем добавить его обработку в будущем), поэтому сейчас, чтобы гарантировать отсутствие «бреши» через IPv6, и, если, как правило, ваша инфраструктура его не использует, лучше его полностью блокировать на файрволлах периметра.

Максимальное число политик, которые можно создать и применить достаточно велико и определяется доступной памятью CVM. При тестировании в Nutanix был создан однажды миллион правил на хосте, и это все работало, так что Flow готов работать даже в очень больших и сложных сетевых инфраструктурах.

Ну и самое приятное: в настоящий момент для Tech Preview микросегментация в AHV бесплатна. После выхода ее в статус GA, пользователю потребуется лицензия, приобретаемая отдельно. Квант — на хост, на срок от года до 5 лет (per-node, per-year), техподдержка включена в стоимость. Общая стоимость останется невысокой, я не могу говорить о ценах, но она будет минимум вдвое ниже чем, например, лицензия NSX Advanced, дающую схожую функциональность для vSphere. Будет существовать, конечно, и Trial (на 60 дней).

Для наших клиентов, у которых системы находятся на поддержке, обновление AOS и AHV приедет автоматически (его только останется скачать и установить обновление, без прерывания работы системы), и, если они уже используют Prism Central, обновление его позволит сразу же начать использовать Flow.

Таким образом, Acropolis Hypervisor — теперь сегодня это не только гипервизор, но и встроенная в гипервизор SDN (Software-defined Network), и если вы искали решение для микросегментации виртуальной среды, а NSX показался вам слишком дорогим и сложным, то самое время посмотреть на Nutanix Flow, возможно это то, что вам нужно.

Оригинал орубликован в блоге компании на Habrahabr: https://habrahabr.ru/company/nutanix/blog/348846/