Архив метки: nutanix

Обновляете vSphere на v6.5? Проверьте HCL!

Я не раз встречаю пользователей, которые «засиделись» на 5.5, и вынуждены мигрировать на 6.х, откладывая это до последнего. «Последнее» начинает пригорать. vSphere 5.5 прекращает поддерживаться уже в сентябре, так что если осенью вы не хотите оказаться с неподдерживаемой системой — пора начинать бегать по потолку готовить процесс миграции на актуальные версии.
И тут я хотел бы в очередной раз напомнить о штуке, про которую, как я заметил, вспоминают всегда в последнюю очередь. Дело в том, что VMware с выходом каждой новой версии и Updates «чистит» свой HCL, не только добавляя новые, но и удаляя из него старые модели серверов. И в этом есть некоторая засада, так как вы вполне можете столкнуться с ситуацией, когда хорошие, еще не старые серверы, выполняющие свою задачу, на которых работает и поддерживается, скажем, vSphere 5.5, после обновления на 6.5 будут считаться неподдерживаемыми, и вы, в процессе апгрейда, получите инфраструктуру, которой будет отказано в вендорской поддержке, хотя, казалось бы, обновлялись, «чтобы было как лучше».

Так, например, на сайте HPE есть специальная страница, в которой вы можете обнаружить, что, например, популярные серверы HPE DL320e Gen8, ML350e Gen8, DL360e Gen8, и уж, понятное дело, DL360 Gen7 — не поддерживаются для ESXi 6.5 и новее.
Аналогичный список есть и у Cisco, и у других вендоров. А у самой VMware он расположен тут: VMware Compatibility Guide.

Так что, надеюсь, вы обойдетесь без сюрпризов в процессе обновления и миграции.
Ну и, как принято говорить, «чтобы два раза не вставать», хочу напомнить, что на платформах Nutanix вы можете также использовать vSphere, причем в одном кластере даже разные версии, например 5.5 и 6.0 или 6.5, что может быть хорошим вариантом для плавной и постепенной миграции инфраструктуры «сервер за сервером». Ну и, наконец, у нас есть «однокнопочная» конвертация кластера vSphere в кластер AHV, решающая окончательно проблему с апгрейдом на новую vSphere с ее веб-клиентом, и прочим админским геморроем.

Что такое Гиперконвергентные (HCI) Инфраструктуры?

Текст, идущий ниже, был написан как своеобразное интервью, взятое у меня для блога KorP. Текста получилось много, почти статья, он показался мне интересным и сам по себе, а не только как ответы на вопросы, большая часть которых моим читателям уже известны. Поэтому я уговорился с автором интервью, что я также опубликую его у себя.

Изначальная идея была в том, что вопросы для интервью будут открыто предложены для всех работающих в России игроков, и каждый из конкурентов сможет ответить на них так, как эти ответы видит тот или иной вендор. При этом я, со своей стороны, написал свою часть еще в ноябре. К сожалению, «за неявкой соперников победа присуждается…», никто из конкурентов за три месяца так и не осмелился выступить в открытой дискуссии, поэтому ждать больше смысла нет. Вот наш текст, написанный, впрочем, еще до версии 5.5.
Удобно будет давать на него ссылку, если понадобится быстро ввести в курс дела человека, с HCI только начинающего знакомство с темой.

1. Что такое гиперконвергентные (HCI) инфраструктуры?

«Гиперконвергентными» называют инфраструктуры, в которых объединение серверов, SAN и СХД сделано на архитектурном уровне, объединяя их в единое неразрывное целое, в единую сущность «хранения-и-обработки информации», «кирпичик LEGO» современного датацентра. Модуль обработки и хранения информации.

2. Чем они отличаются от конвергентных и от классических инфраструктур?

Собственно, само название «гипер-» потребовалось, чтобы отличаться от появившихся на несколько лет ранее так называемых «конвергентных» систем (VCE vBlock, Cisco-NetApp FlexPod), которые, на наш взгляд, вообще никакой конвергенции не имели, а были просто способом продать клиенту предынсталлированную инфраструктуру из серверов, SAN и СХД и по одному Purchase Order-у, в одном шкафу, ничего не меняя в архитектуре системы по сути. Это по-прежнему оставались СХД и серверы, без какой-либо конвергенции между ними (если не считать таковой процесс продажи).
«Гипер» (а, по сути, и просто «конвергентность», как диктует сам термин) это именно слияние и образование единой сущности, чем и являются современные HCI.

3. В чем преимущества HCI инфраструктур?

Основные преимущества HCI это плавность и практическая неограниченность масштабирования, возможность строить интегрированную инфраструктуру под разные задачи, объединяя их в рамках единого «квази-облачного» инфраструктурного решения, без необходимости выделять «ресурсные острова» и дробить единое решение, при этом обеспечивая крайне высокую производительность решения.
Это существенная экономия на эксплуатационных расходах (TCO). Так, например, компания IDC в своем отчете, сделанном по результатам опроса десятков клиентов Nutanix в enterprise, утверждает, что срок окупаемости для Nutanix HCI составляет около полугода, а ROI на пятилетнем интервале составляет более 500%.
Наконец, это быстрота развертывания (и масштабирования в дальнейшем) решения, сокращающая Time-to-Market для продуктов компании. Тот самый «agile», о котором сегодня в России широко заговорили примерно полтора года назад.

4. Каковы недостатки HCI инфраструктур?

Наши клиенты обычно называют в качестве основных причин, по которым они пока не могут или не хотят перейти на HCI, настороженность в отношении вендор-лока (HCI обычно являются продуктом одной компании, так, в нашем случае, Nutanix поставляет и аппаратную платформу, и software-defined продукт на ней работающий, и, в случае использования AHV, гипервизор). Есть определенная настороженность к новому продукту, который, по сути, появился на рынке России всего лишь три года назад (для России это совсем недавно), и относительно невелик пока опыт его использования в российских компаниях (с этим сталкивается последовательно, каждый новый вендор, приходящий на российский рынок). Я также вижу определенную настороженность к самой по себе идее фиксированного объема хранения на каждом узле кластера HCI, так как в «классической» инфраструктуре нам много десятилетий возможность независимого расширения емкости хранения на SAN СХД от серверов обработки, а также идея «консолидации данных» на выделенном дисковом массиве, называлась одним из главных преимуществ современной IT-инфраструктуры.

5. Как они могут дополнять друг друга?

Сегодня мы, в Nutanix, всегда рассматриваем возможности сосуществования с «классической» инфраструктурой. Как хороший пример могу привести вариант использования HCI с системой SAP HANA. В настоящий момент сервер HANA поддерживается SAP только на физическом «железе», без виртуализации. Однако кроме сервера самой HANA, значительную часть решения обычно составляют многочисленные серверы приложений, использующих in-memory HANA DB, а также среда разработки, QA и так далее. И в нашем случае компании часто устанавливают под сервер HANA DB физический сервер, что полностью поддерживается SAP, а затем развертывают множество клиентов, серверов приложений, на HCI-узлах, и это тоже поддерживаемый вариант.

6. Каковы основные варианты использования?

Часто пользователи вынуждены продолжать эксплуатировать старое legacy оборудование и ПО, которое они не могут немедленно заменить на современное, по разным причинам. Проблемы лицензирования, совместимости с каким-то сторонним оборудованием, или просто нехватка ресурсов на миграцию и значительные инвестиции, сделанные компанией в прошлом, могут препятствовать немедленному переходу. Сейчас, например, в случае Nutanix, можно использовать кластер Nutanix, по крайней мере какую-то его часть, как своеобразную SDS СХД, подключая его как блочное хранилище к внешним серверам, и, таким образом, сосуществуя с ними и продляя их жизнь, защищая сделанные инвестиции.
Мы также предоставляем возможности использовать Nutanix как высокопроизводительное файловое хранилище (NAS) для внешних клиентов. Это могут быть как VDI-клиенты, так и, например, специализированные медицинские системы хранения цифровых рентгеновских снимков, с поддержкой отраслевого стандарта DICOM.
Так что возможности сосуществования с уже имеющейся инфраструктурой у HCI Nutanix довольно широки, и это, часто, открывает двери для новых технологий в «традиционных» IT-инфраструктурах.

7. Могут ли они интегрироваться или сосуществовать с имеющими инфраструктурами заказчиков?

Безусловно да. Мы трезво понимаем, что, как бы мы ни видели потенциальное превосходство HCI над «классикой», впереди у нас многие годы сосуществования с ней в датацентрах enterprise-компаний. Большие инвестиции, сделанные в SAN, в СХД, в большинстве компаниий расточительно, да и просто невозможно одномоментно «выбросить». Разумеется, остаются и области, ниши, в которых «классическая» инфраструктура хорошо себя чувствует, и будет чувствовать многие годы. Как телевизор не убил книги, так и, допустим, жесткие диски не уничтожили магнитные ленты, но вытеснили их в ниши, где они (для лент, например, это архивное «отчуждаемое» offline-хранилище) существуют и будут существовать очень долго. Но, как мне кажется, сейчас все большему числу IT-специалистов видно, что мы стоим на пороге больших перемен в инфраструктуре. И как когда-то жесткие диски вытеснили магнитные ленты во времена мэйнфреймов, как в 90-е годы дисковые массивы SAN постепенно заполнили датацентры, вытеснив DAS, как в 2000-е появившаяся серверная виртуализация пробила себе путь в подавляющее число корпоративных датацентров, так и HCI сегодня, потенциально, является следующим эволюционным шагом для инфраструктуры датацентров.

8. Какие преимущества получит заказчик при переходе от традиционной к HCI инфраструктуре?

Это, на мой взгляд, большая гибкость, упрощение (и как следствие – снижение стоимости и числа ошибок) администрирования, повышение надежности, увеличение производительности, экономия на эксплуатационных расходах, большая динамичность IT, позволяющая быстрее откликаться на требования бизнеса, повышая его конкурентоспособность.
Не стоит забывать, что все, что мы делаем в IT-инфраструктуре, в конечном счете должно повышать отдачу и конкурентоспособность бизнеса, ей обслуживаемого, и одна из стратегических задач HCI состоит как раз в этом.

9. Что вызвало рост HCI?

Безусловно, определяющим толчком для HCI послужило широкое принятие рынком технологии виртуализации, так как без гипервизора не работает ни одна из HCI-систем, представленных на рынке. Сегодня подавляющее большинство приложений или уже работает, или может работать в среде гипервизора, тем самым открыт путь к широкому использованию HCI. Кроме того, важным этапом был возникший, за последние три-пять лет, существенный интерес к Software-defined продуктам, не только Storage (SDS), но и всем другим компонентам, которые могут быть реализованы дешевле и с существенно более быстрым циклом разработки, в виде программного кода на CPU общего применения. Сегодня, как показывает практика, производительность массовых CPU архитектуры x86 общего применения, достаточна для подавляющего большинства задач, которые раньше реализовывались дорогими в производстве и разработке специализированными hardware-системами.
Кроме этого, постоянный рост производительности ввода-вывода, обусловленной приходом твердотельной памяти, начал диктовать необходимость размещать хранилище максимально близко к CPU обработки данных, в идеале – локально на шине CPU и RAM.
Ответом на эти потребности, вызванные развитием технологий, и стали HCI, системы, где данные хранятся локально, там, где они обрабатываются, которые реализованы полностью программно, на процессорах общего применения и commodity-серверах, работающих под управлением baremetal-гипервизора. Первоначально разработанные как часть проперитарных решений построения инфраструктуры в компаниях интернет-гигантах, таких как, например, Google и Facebook, они «коммодитизровались» и вышли на массовый рынок в виде доступного «коробочного» продукта.

10. Какие проблемы несет устаревшая инфраструктура?

Основные проблемы, присущие «классическому» методу построения инфраструктуры, это негибкость, проблемы с масштабируемостью, высокая стоимость владения, сложность и дороговизна поддержки многокомпонентных мультивендорных решений, сложность и, как следствие, высокая цена администрирования.

11. Какие проблемы пытаются решить клиенты?

Для Nutanix типичные области использования это разнообразные enterprise-приложения, такие как базы данных, включая тяжелые и требовательные к объемам RAM. Это инфраструктуры VDI, для которых характерны задачи быстрого масштабирования в случае добавления новых рабочих мест и низкая latency дисковых операций. Это разнообразные инфраструктуры частных и гибридных «облаков». Существенной и растущей долей является направление Big Data Analysis, интерес к которой сейчас растет во всем мире. Важной частью также являются «распределенные» инфраструктуры, ROBO, филиальные сети, DR-центры, и так далее.
Отчасти проблемы, решаемые клиентами это сокращение эксплуатационных затрат и увеличение гибкости уже существующих систем, мигрируемых с «классики» на Nutanix, отчасти это совершенно новые области, такие как, например, Big Data исследования или построение Private Cloud в компании.

12. С каким проблемами чаще всегда сталкиваются заказчики при внедрении и использовании HCI решений?

На мой взгляд, основной проблемой при переходе на HCI, является инертность мышления. «Когда в руке молоток – все вокруг выглядит как гвозди». Существует годами выработанная методика решения IT-задач. И одномоментно вдруг увидеть, что кругом не только гвозди, которые можно только забивать, но и множество других способов обращаться с предметами и решать задачи, часто бывает довольно тяжело воспринимаемой, особенно для IT-шников старшего поколения, привыкших жить в парадигме «сервер-SAN-СХД», рожденной еще в 90-е. Когда «бэкап – это непременно ленточная библиотека», «Fibre Channel – высочайшее достижение инженерной мысли и единственно пригодное для наших задач», «нужно запустить приложение – ставим под нее выделенный сервер». Сегодня в мире довольно быстро развивается совершенно новая IT-парадигма дискретизации и распределенных приложений, микросервисов, контейнеризации, web-scale. К сожалению, мимо крупного энтерпрайза (в особенности, и прежде всего в России) этот тренд все еще проходит мимо, он все еще мыслит, например, категорией «одно приложение – один сервер». И HCI в таком случае применить и использовать довольно сложно, он не позволит проявить HCI свои лучшие и наиболее сильные преимущества.

13. Является ли снижение совокупной стоимости владения ключевым фактором перехода к HCI?

Глобально, в мире, безусловно – да. В России, к сожалению, стоимость владения все еще не является, обычно, решающим фактором при выборе решения и расчете его стоимости. Отчасти это связано с отсутствием общепринятой методики расчета TCO в России (а общемировые, часто, плохо подходят для российских условий), отчасти просто от общей недооценки стоимости владения в общей стоимости решения. По моим наблюдениям, вопросы «а сколько это стоит» в российском IT (а широко — и в бизнесе вообще) это какое-то «небарское дело» («…копейки все эти считать, прикажем — заплатят!»), признаком успешного бизнеса у нас являются масштабы трат, шикарность офисов и автомобилей «топов» а не эффекивность использования бюджетов. Совместить такой менталитет с пониманием, что деньги могут быть потрачены с бОльшей или мЕньшей отдачей, достаточно непросто.

14. Развитие каких технологий может увеличить спрос на HCI системы?

На мой взгляд, широкое распространение быстрой персистентной (то есть не теряющей данные при выключении питания, например, как магнитные диски) памяти, такой как NVMe flash и 3DXpoint насущно требует сокращения пути доступа к хранимым данным. Большие величины latency, характерные для внешней памяти, с доступом через SAN, уничтожают значительную часть преимуществ по скорости и производительности таких типов памяти и не дают ей показать все, на что она физически способна. Подобная память должна располагаться максимально близко к процессорной части системы, в идеале прямо на шине взаимодействия процессора с памятью. И здесь гиперконвергенция, сливающая хранение и обработку воедино, и размещающая ее локально для CPU, имеет огромный потенциал для роста производительности систем и использования всего скоростного потенциала новых типов быстрого хранилища.

15. Кто является основными игроками на этом рынке? На кого вы смотрите и ориентируетесь из конкурентов?

Пожалуй, наиболее активным и значимым нашим конкурентом среди гиперковергентных систем являются DellEMC VxRAIL (и VMware VSAN). Вероятно, после окончания процесса интеграции в продуктовую линейку HPE и решения ряда проблем с развитием архитектуры, определенный импульс к развитию получит и SimpliVity. В целом на рынке сейчас существует масса гиперконвергентных решений, однако общая беда почти всех – в отсутствии хорошего vision, того, куда эта область будет развиваться в ближайшие 3-5 лет. Позиция Nutanix, которая с одной стороны – превопроходец, а с другой – пробивающая общую инертность рынка собой, имеет и свою силу, и свою слабость. Сила, безусловно, в задании тренда, в соответствии с которым будут вынуждены идти и повторять вслед за лидером компании, идущие за ним следом. Слабость, возможно, в том, что повторить успех обычно стоит гораздо дешевле с точки зрения затрат на R&D. Пока Nutanix вышеперечисленное удается.
Но, говоря о конкурентах Nutanix важно понимать, что главный конкурент Nutanix не VSAN, не SimpliVity и не традиционные инфраструктуры. Важно понимать, что для всего перечисленного главный конкурент – AWS и Azure, «публичные облака». И пока «инфраструктурщики» спорят о том, кто является «лидером рынка», бизнес тем временем все дальше и быстрее уходит к облачным провайдерам (например, только за 2017 год, и только AWS достиг в выручке 20 миллиардов $, и растет на 40% в год. И это только один AWS, без учета не менее успешных MS Azure, Google Cloud Platform, RackSpace, Softlayer) На мой взгляд, именно они сегодня – главный конкурент и для HCI, и для «классики» вместе взятых.

16. На ваш взгляд — чем выделяется ваше решение среди конкурентов?

Основные преимущества Nutanix перед конкурентами это принципиальная hypervisor-agnostic модель решения, не навязывающая выбор сопутствующего гипервизора. Это широкая поддержка сторонних платформ и OEM-партнеров, обусловленная использованием чистого software-defined в решении, которое легко перенести и установить на стороннее commodity hardware. Это широта и полнота вИдения пути дальнейшего развития продукта и отрасли и функциональное богатство решения, его готовность к «Tier1 workload». Его зрелость, широкое принятие рынком, большой накопленный опыт реализации проектов пользователей самого разного масштаба.

17. Чем обусловлен выбор гипервизора, с которым работает ваша система?

Около 65% наших клиентов используют в качестве гипервизора разные версии VMware vSphere. Однако кроме поддержки сторонних гипервизоров, которая будет продолжаться и развиваться, у нас есть и свой собственный – Acropolis Hypervisor, AHV, разработанный на базе открытого исходного кода Linux KVM. Наша цель в разработке этого гипервизора была, во-первых, достичь большей независимости и свободы от одного поставщика гипервизора (к тому же напрямую конкурирующего с нами с продуктом VSAN/VxRAIL), использовать открытый код, со всеми присущими этому шагу плюсами, и, наконец, получить гипервизор, в котором мы можем реализовывать передовые технологические возможности платформы, независимо от стороннего поставщика гипервизора, своими силами.

18. Какие перспективы вашей системы в ближайшем будущем?

В недавнем обновлении мы выпустили инструмент, который будет доступен для всех наших пользователей – наш облачный оркестратор Nutanix Calm, который позволит строить на базе кластеров Nutanix гибко и просто разворачиваемую пользователем облачную платформу, с использованием технологий Docker и Kubernetes, а также нашего собственного «магазина приложений». Мы намерены развивать начавшееся в этом году технологическое сотрудничество с Google Cloud Platform по построению гибридных облачных решений, и более активно предлагать рынку Nutanix в форме программного продукта для сторонних аппаратных серверных платформ, таких как HP ProLiant и Cisco UCS. Мы также расширяем круг наших OEM-партнеров, уже сейчас добавив к ним такого мощного в Европе и Германии игрока как Fujitsu, а также планируем продолжать сотрудничество с IBM по продвижению гиперконвергентности на платформе IBM Power8.

19. Почему некоторые заказчики, задачи которых отлично укладываются в HCI остаются приверженцами традиционной архитектуры? Боязнь, что HCI это временный «хайп»? Сталкивались вы с такими заказчиками и удавалось ли их переубедить?

Когда-то у IBM была серия рекламы со слоганом «еще никого не уволили за покупку IBM», и это был слоган, бьющий в самое сердце любого CIO. Никто не ищет возможности «поменять», если можно не менять. Никто не хочет быть уволенным за эксперименты над инфраструктурой, это объяснимо и понятно.
Если у вас не «болит», то никто и никогда не будет что-то менять, что уже работает. Что позволяет спокойно спать ночами, ходить в отпуск, не держа рядом с кроватью включенный телефон, и вовремя получать годовые бонусы.
Но вот когда настает момент, когда «надо менять», а текущая инфраструктура достигла своего предела. Когда бизнес требует срочного снижения Time-to-Market, а у вас три месяца занимает только запуск новой инфраструктурной единицы в датацентре, считая от подачи заявки подразделением. Если ваш KPI как CIO владельцы бизнеса напрямую связали с резким снижением TCO IT-инфраструктуры, а бюджеты IT-отдела урезаются год от года, вот тогда вы, поневоле, будете искать что-то новое, что поможет вам эти задачи выполнить.
Наконец, на мой взгляд, общая консервативность IT в Российском энтерпрайзе, связана с тем, что мы, к сожалению, в значительной мере оторваны от мирового IT-мэйнстрима. Например, из-за плохого владения английским языком, значительная часть российских айтишников вынуждена узнавать о новостях и трендах в IT «в переводе», с существенной задержкой на то, когда соответствующая технология будет «переведена» и привезена на локальную выставку или конференцию в Россию (и конкретнее – в Москву). А крупные IT-события, на которых можно увидеть какие-то прорывные технологии, когда они появились, а не спустя два года, обычно происходят «там», и чтобы туда поехать нужно время, средства, визы, мотивация, и так далее.
Все это делает российское IT более консервативным, чем оно могло бы быть. Но есть и хорошая новость. Самые передовые и создающиеся «здесь и сейчас» бизнесы, не обремененные наследием legacy, пусть это и не масштаб «Silicon Valley», часто хотят стартовать «с отрывом» и вынуждены «рисковать» и выбирать самое передовое. Зачастую, это также отличный «внутренний драйвер» и мотивация для проекта в компании.

20. Расскажите о наиболее интересном, с технической точки зрения проекте по строительству гиперконвергентной инфраструктуры, которую вы выполняли для ваших заказчиков.

Сложно рассказывать о проектах, которые не были официально объявлены публичными. И у нас в России, и, в целом, в мире, не любой интересный проект является таким, о котором можно рассказать. Это так у любого вендора. Я стараюсь вылавливать и рассказывать о том, о чем рассказывать можно, в блоге. Лично для меня одними из самых впечатляющих кажутся истории, когда в результате модернизации и переводе «классики» на HCI удается существенно сократить расходы и footprint решения. Так, например, недавнее внедрение в Казахтелекоме, перевело семь стоек оборудования «классики» во всего 10U, причем с существенным ростом производительности и перспективами на рост. В Азербайджане мы, совместно с нашим OEM-партнером Lenovo запустили IT-инфраструктуру в свежепостроенной клинике высочайшего класса Bona Dea Hospital Baku, и в этом случае мы также оставили большую часть заказанных на этапе строительства стоек в больничном датацентре незаполненными (их заказывали под «классику») просто потому, что свыше 70 медицинских IT-сервисов в катастрофоустойчивой инфраструктуре хранения и обработки, в том числе рентгеновская и MRT-томография, защищенное хранение медицинских документов пациентов, и прочие IT-нужды современного медицинского комплкса, с запасом уложились в две стойки оборудования.
Ничего подобного «классические» IT-инфраструктуры, дошедшие сегодня практически до своего предела, не могут предложить даже близко.
Очень интересным мне показалось проведение тестирования (и публикация результатов) компанией Центр Финансовых Технологий, ведущего российского разработчика банковского ПО Tier-1 class, на котором работают сотни банков как в России, так и в некоторых странах СНГ и Восточной Европы. Тестирование показало высочайшую производительность и надежность, открывающие двери HCI в крайне консервативную и требовательную область банковского ПО.
Особенно стоит отметить, что HCI применяется и используется сегодня в широчайшем спектре и диапазоне задач и бюджетов, от «супермега»-международных корпораций (более 60 компаний из списка Forbes Global 100 сегодня — наши клиенты) до, порой, почти SMB-клиентов. и это — еще одно важное преимущество гиперконвергентных инфраструктур.

IBM AIX будет и на платформе IBM CS/Nutanix AHV

В этом блоге я уже писал, что летом прошлого года к нашим партнерам, поставляющим свои решения на базе софта Nutanix, добавилось знаковое имя — IBM. С осени 2017 IBM начала предлагать гиперконвергентную инфраструктуру на основе Nutanix AHV как платформу для направления Cognitive. В IBM так называется сегмент продуктов в области опенсорса, machine learning, AI, big data, deep data analysis, и всего такого. И тогда же у пользователей начал возникать вопрос: ну, ОК, когнитив. А в Core Business когда? Будет ли на IBM hyperconverged platform, например, AIX? И тогда же я рассказывал, что, в принципе, «с нашей стороны пули вылетели», нам удалось запустить на Nutanix в том числе и AIX, то есть мяч на стороне IBM, а вот захотят ли они допускать Nutanix и HCI в вотчину Power-ов, PowerVM и core business — это решит IBM.
И вот, наконец, решились. В недавно выпущенном бюллетене IBM пишет:

ENUS218-077: IBM intends to enable selected AIX VM guests on IBM Hyperconverged Systems powered by Nutanix (CS series).

Это означает, что на IBM CS (Converged Systems) будет AIX в VM теперь и официально.

Nutanix Flow — микросегментация виртуальной сети

Микросегментация — это, наряду с другим нашим ключевым продуктом, облачным оркестратором Nutanix Calm, одна из наиболее важных новинок в вышедшем в конце декабря релизе AOS 5.5 (codename Obelix).
Так как Microsegmentation слишком длинное имя для коммерческого продукта, как продукт данная технология будет носить имя Nutanix Flow.

В релизе 5.5 мы, как это у нас принято, представили Tech Preview, своеобразную «гамма»-версию для ознакомления в тестовой среде, а в следующем обновлении, выходящем в конце февраля-марте, и называющемся 5.5.1, микросегментация будет объявлена финальным, «продакшн-реди» релизом, готовым к использованию.

Nutanix Microsegmentation (Flow) можно рассматривать как своеобразный встроенный в систему виртуализации AHV распределенный файрволл виртуальных машин, защищающий виртуальные машины внутри «облака» инфраструктуры.
Вместо привычной схемы, когда внешним файрволлом защищается «периметр» облака, но при этом, как правило, внутри облака сетевая защита обычно либо довольно примитивна, либо вовсе не используется, и «зловред», попавший внутрь облачного пространства имеет все возможности «гулять по буфету» среди слабозащищенных VM и перехватывать любой трафик, в Nutanix предлагают использовать защиту не только периметра инфраструктуры, но всей инфраструктуры, каждой виртуальной машины, причем эта защита встроенная, легко конфигурируема с помощью групп VM и назначаемых политик, не использующая механизма оверлейных сетей, типа VXLAN, и не требующая перенастройки сетевого оборудования.

Возможно вы возразите, что, при необходимости, изоляцию групп VM можно реализовать с помощью механизмов VLAN. Однако, сетевики не дадут соврать, для инфраструктур даже в несколько десятков VM, конфигурирование, а также поддержание в случае нормальной жизни фермы хостов виртуализации, сложной схемы десятков сегментов VLAN-ов скоро превращается в серьезную головную боль. А что говорить не о десятках, а сотнях, тысячах виртуальных машин, мигрирующих между десятками хостов виртуализации датацентра, в зависимости от их загрузки, или даже перемещающихся между датацентрами!
Сегодня в крупном бизнесе, не только хостинговом, это уже реальность.

Было бы здорово, если бы можно было привязывать сегмент сети не на уровне внешнего коммутатора, а применяя политику в конкретной VM в среде виртуализации! И, разумеется, такие решения начали появляться. Наиболее известным таким решением является VMware NSX, который, несмотря на свою высокую цену и сложность, нашел себя на рынке, хотя, безусловно, сложность реализации, как и цена, затрудняют его широкое использование.
Nutanix в этой области, как и с нашим гипервизором AHV, пошел путем, когда реализуется наиболее востребованная функциональность в первую очередь, и не ставится задача сделать «швейцарский нож» (который обычно, давайте начистоту, как нож — никакой). Именно поэтому, поглядев на то, какая функциональность NSX пользователями виртуальных сред, используется более всего, мы начали делать свой «энэсикс» с поэтессами.

Итак, Nutanix Flow — это наша собственная реализация концепции микросегментации для нашего гипервизора AHV, и пока только для него. Если вы используете в качестве гипервизора на Nutanix vSphere — для вас есть NSX. Мы хотели бы реализовать Flow для vSphere, но пока это планы не ближайшего будущего.

Так как Flow — полностью софтверная реализация, он также будет работать на продуктах наших OEM-партнеров, например Dell XC, Lenovo HX, и так далее, в том числе и на Software-only инсталляциях.

Для использования Flow вам нужен AOS 5.5 и новее, свежая версия AHV и Prism Central, наш бесплатный инструмент администрирования, работающий из appliance VM, например, там же, в среде Nutanix. Несмотря на то, что Flow «встроен в ядро» AOS, и будет работать в том числе и без Prism Central, для настройки политик нужен Prism Central.

Основные возможности Flow это:

  • Распределенный stateful firewall, интегрированный в ядро AHV, минимально загружающий CPU и память при работе.
  • Централизованное управление этим firewall, встроенное в Prism Central, использующее схему политик, автоматически обновляемых в ходе жизненного цикла приложений и VM.
  • Встроенная визуализация правил и применяемых политик.
  • Возможность настраивать service chaining, например, перенаправлять сетевые потоки на системы контроля, аплаенсы файрволлов, антивирусов, помещать VM или их группы в карантин, простым назначением политики группе, и так далее.

Как происходит формирование и назначение политики для виртуальной машины? В отличие от классической настройки правил файрволла, состоящей из указания source IP address/port, destination IP address/port и протокола, то есть привязанных к категории IP-адреса, Nutanix Flow базируется на концепции «групп приложений». Вы создаете (или используете из предустановленных) категорию AppType (например: AppType:Microsoft Exchange), затем дополняете ее категорией AppTier (например: AppTier: Edge Transport Server или AppTier: Mailbox Server), и, наконец, связываете VM с соответствующей категорией в группу, которой в дальнейшем назначаете политику. В политике вы можете определить и задать inbound flows, которые могут быть ограничены набором источников, например, ими могут быть другие группы и категории, а также задать исходящие flows. Последние по умолчанию открыты, но вы также можете задать в них группы и категории.

В Nutanix Flows существует три типа политик: Application policies, Isolation policies и Quarantine policies.
Первая, application policy, может применяться для защиты приложений в VM, путем выборочного задания входящих и исходящих потоков к приложению и от него.
Вторая, isolation policy, применяется для изоляции всего трафика групп, например, отделить группу «DevTest» от «Production», «HR» от «Finance» или «MoscowDC» от «StPetersburgDC».
Наконец, третья, quarantine policy, применяется для полной изоляции группы или контейнера от всех прочих VM и приложений, например, в случае необходимости расследования инцидента взлома, подозрений на вирус, и так далее.
Политики могу комбинироваться между собой, при этом приоритет комбинирования политик осуществляется в порядке: Quarantine — Isolation — Application. То есть, например, назначение политики карантина автоматически перекрывает все действующие ниже по приоритету политики Isolation и Application, немедленно после ее применения.

Сложные схемы действия и комбинации упрощаются наличием специального monitoring mode, при котором созданные политики применяются в специальном тестовом режиме, позволяя проверить правильность настроек пред фактическим применением политик.

Ну и, конечно, облегчает процесс настройки и назначения политик наш интерфейс визуализации.

Например, мы хотим подразделению HR в группе San Jose разрешить доступ к отправке электронной почты на Edge-сервер по порту SMTP. Необходимая политика в визуальном редакторе будет выглядеть:

А если мы захотим пропускать исходящий трафик через service chain, например через application-level firewall, просто добавим его, щелкнув ниже на галку Redirect through service chain и выберем нужный firewall в списке.

Nutanix Flow не использует оверлейные сети, например, VXLAN, что существенно упрощает настройку и использование, и не требует специального отдельного контроллера SDN. Вся работа осуществляется на стандартных сетевых уровнях. Например, firewall в Flow работает на уровне L4 (TCP), и осуществляет stateful проверку сетевого трафика с L2 по L4 включительно. При этом, при необходимости более глубокой проверки на уровнях выше L4, возможна интеграция со сторонними продуктами, так, например, уже реализована совместная работа с Palo Alto Networks PANW VM-series firewall, для контроля трафика вплоть до Application Layer (L7). Если у пользователя уже развернуты свои средства firewall, они могут продолжать работать параллельно с Flow.

Обычно, для начала использования Flow не требуется изменений в топологии сети, если она уже сконфигурирована у пользователя. Все операции Flow происходят внутри виртуальной инфраструктуры, на AHV vSwitch. Политики, назначенные VM, продолжают исполняться даже в случае изменения выданного VM IP-адреса (при этом используется ARP spoofing, чтобы идентифицировать VM и ее новый IP, и обновить установки политики), и в случае переезда VM на другой хост.

Пока не поддерживается и не обрабатывается трафик IPv6 (но мы планируем добавить его обработку в будущем), поэтому сейчас, чтобы гарантировать отсутствие «бреши» через IPv6, и, если, как правило, ваша инфраструктура его не использует, лучше его полностью блокировать на файрволлах периметра.

Максимальное число политик, которые можно создать и применить достаточно велико и определяется доступной памятью CVM. При тестировании в Nutanix был создан однажды миллион правил на хосте, и это все работало, так что Flow готов работать даже в очень больших и сложных сетевых инфраструктурах.

Ну и самое приятное: в настоящий момент для Tech Preview микросегментация в AHV бесплатна. После выхода ее в статус GA, пользователю потребуется лицензия, приобретаемая отдельно. Квант — на хост, на срок от года до 5 лет (per-node, per-year), техподдержка включена в стоимость. Общая стоимость останется невысокой, я не могу говорить о ценах, но она будет минимум вдвое ниже чем, например, лицензия NSX Advanced, дающую схожую функциональность для vSphere. Будет существовать, конечно, и Trial (на 60 дней).

Для наших клиентов, у которых системы находятся на поддержке, обновление AOS и AHV приедет автоматически (его только останется скачать и установить обновление, без прерывания работы системы), и, если они уже используют Prism Central, обновление его позволит сразу же начать использовать Flow.

Таким образом, Acropolis Hypervisor — теперь сегодня это не только гипервизор, но и встроенная в гипервизор SDN (Software-defined Network), и если вы искали решение для микросегментации виртуальной среды, а NSX показался вам слишком дорогим и сложным, то самое время посмотреть на Nutanix Flow, возможно это то, что вам нужно.

Оригинал орубликован в блоге компании на Habrahabr: https://habrahabr.ru/company/nutanix/blog/348846/

Gartner Magic Quadrant for HCI, Feb 2018

Мы молодцы, ура нам.

Как обычно у Гартнера, сама картинка «квадранта» это «визуализация», для вставления в презентации, а самое важное — в тексте, в перечислении cautions/strengths.
Текст отчета можно взять на сайте Nutanix, а кто по каким-то причинам сходить туда не может или не хочет, я сделал PDF: Gartner MQ HCI Feb2018.

А чисто по «визуалу» — все поднялись по оси Y, ability to execute, то есть по «бизнес-параметру», демонстрируя увеличившийся бизнес-масштаб решений, и очень иллюстративно так вытянулись по линеечке. Напомнило вот это: картинка.

Почему мы в Nutanix занимаемся Docker и контейнерами

Просто картинка, сделанная в Google Trends.

Google Trends, напомню, это сервис, который позволяет сравнивать упоминание и частоту появлений тех или иных слов в поиске и проиндексированных страницах.

Nutanix AHV и что мы будем делать с Meltdown/Spectre

«А теперь, Машенька, о главном…» (с)

Год начинается весело. Если вы пропустили все на свете, то, в двух словах: обнаружена крупная и довольно пакостная уязвимость в большинстве ныне используемых процессоров Intel (и некоторых других архитектур — тоже). Условно вся эта группа уязвимостей названа Meltdown/Spectre, и за подробным описанием я отсылаю на специализированные сайты. Связана эта уязвимость с технологией выполнения программного кода, широко применяемой в CPU сегодня, и, потенциально, может быть использована для доступа к пользовательским данным. Любым данным. Ключам, паролям, произвольным блокам данных, лишь бы в памяти. Процесс злоумышленника может потенциально извлекать из недоступной ему, в обычном состоянии, памяти соседних процессов (и других VM, например), ее содержимое. Самое плохое, что починить ее так, как это обычно делается, правкой микрокода CPU — невозможно.
Пока, в пожарном порядке, производители OS выкатывают патчи, изолирующие память ядра от памяти пользовательских процессов, разными способами. К сожалению, у всех этих патчей есть неприятное побочное свойство: они существенно ухудшают эффективность работы процессоров, и, потенциально (обратите внимание на то, что я часто использую выражение «потенциально», да?) могут заметно ухудшить общую производительность систем. Степень падения производительности разная. В наихудшем случае, при наихудшем стечении обстоятельств, говорят о 20% снижения. Впрочем, существуют задачи, сочетания оборудования и характера операций на CPU, на которых падение незначительно, или вовсе отсутствует.

Если вы используете в качестве гипервизора на Nutanix VMware ESXi или MS Hyper-V — устанавливайте патчи, разработанные VMware и Microsoft (для vSphere смотрите сюда: https://kb.vmware.com/s/article/52085). В этом случае платформа Nutanix для вас ничем не отличается от любой x86 платформы под этим гипервизором. ОЧЕНЬ внимательно читайте текущее состояние дел с порядком установок патчей, там сейчас творится форменный цирк с конями. Обязательно проверяйте ситуацию со стабильностью ваших задач перед выкаткой патчей в продакшн.

Если вы используете Nutanix AHV, то тогда смотрите ниже.

Уязвимость типа Meltdown (Rogue Data Cache Load (CVE-2017-5754 — CVSSv3 7.9)). Более простая в использовании, и поэтому, в принципе, более опасная, но, так как Meltdown не может напрямую использоваться из гостевой VM для атаки на гипервизор, он не опасен для AHV и поэтому фиксить Meltdown в Nutanix AHV нет необходимости.

Уязвимость типа Spectre. Ее использование более сложно реализуется, но она может быть использована для атаки на гипервизор, и ее необходимо пофиксить на уровне гипервизора.

Существует два вида уязвимости Spectre: Вариант 1 и Вариант 2.

Spectre Var1 (Bounds Check Bypass (CVE-2017-5753 — CVSSv3 8.2)) требует минимального изменения в коде, так как уязвимый код НЕ ПРИСУТСТВУЕТ в подсистеме KVM ядра.

Spectre Var2 (Branch Target Injection (CVE-2017-5715 — CVSSv3 8.2)) требует четыре отдельных фикса.

Кроме этих четырех фиксов будет добавлена конфигурируемая пользователем опция CPU IBRS mode (Indirect Branch Restricted Speculation). CPU IRBS может быть включен (on) или выключен (off).

Значение CPU IRBS по умолчанию — off. В этом состоянии замедление работы CPU отсутствует, но есть потенциальная, крайне малая, впрочем, из-за примененных выше фиксов в коде, закрывающих большинство «лазеек», возможность использовать уязвимость Spectre.

В значении CPU IRBS on использование Spectre, даже потенциальное, полностью исключается, однако может наблюдаться некоторое снижение производительности, из-за ухудшения эффективности выполнения кода процессором.

Выбор пользователя, какой именно режим предпочесть.

В Nutanix продолжают работать над более эффективным и элегантным способом решения задачи устранения уязвимости, вероятно результат будет опубликован в течение следующих нескольких недель.

Фиксы для AOS версий 5.0.x и 5.1.x применяются на AHV version 20160925.103, и доступны с Nutanix support portal, а также будут включены по умолчанию в AOS версий 5.0.5 и 5.1.4, выходящих вскоре.
Фиксы для AOS версий 5.5.x применяются на AHV version 20170830.85, и доступны с Nutanix support portal, а также будут включены по умолчанию с AOS версии 5.5.1.

Подробнее информацию по этой теме смотрите на странице Security Advisores. Официальный док — тут: SecurityAdvisory07-v6. Документ обновляется, текущая версия, на момент публикации этой записи — шестая, самую свежую версию смотрите на сайте Nutanix.

UPD: Версия Security Adisory по этой проблеме обновилась до v7.

UPD2: This updated microcode from Intel has been deemed problematic in certain scenarios, and in some cases, can cause further side effects that are undesirable in virtual environments.
Removed recently released AHV versions 20170830.85 and 20160925.103 from the portal. Instead we will be delivering these AHV versions by way of direct AOS version upgrades. AOS versions 5.5.0.4, 5.1.4 and 5.0.5 will soon be available and packaged with AHV versions 20170830.85 and 20160925.103 respectively. By packaging these updates directly with an AOS update we can default disable VM use of IBRS, the affected and problematic portion of the microcode update.
Remediation:
1) If you have already updated AHV to 20170830.85 or 20160925.103 then it is recommended you upgrade to AOS version 5.5.0.4, 5.1.4 or 5.0.5 once they are available, and reference KB#5104, or contact Nutanix Support, for further information.
2) If you have not yet upgraded AHV to the aforementioned versions then it is recommended to wait and upgrade to AOS version 5.5.0.4, 5.1.4 or 5.0.5 once they are available, and then upgrade your hosts to the packaged AHV version. In this scenario, it is unnecessary to contact Nutanix Support for additional information. Reference KB#5104 for additional information.

Nutanix принял решение в нашем продукте для борьбы с Meltdown/Spectre использовать технологию Retpoline, разработанную командой Google, вместо плохо себя зарекомендовавшего пути с «тремя патчами» Intel.

О Veeam B&R и поддержке им AHV

В нескольких словах о ситуации с поддержкой в Veeam Backup and Replication нашего гипервизора Nutanix AHV.
Как вы наверняка уже знаете, в прошлом году мы договорились о том, что Veeam сделает такую поддержку, и добавит к ESXi и Hyper-V еще и AHV.
Неоднократно, в том числе официальными «спикерами» компании (например Gostev в форуме Veeam), называлась датой выхода «до конца 2017 года» и «выйдет в составе v9.5 Update 3». Однако 9.5 Update 3 вышел, как и обещалось, до конца года, а поддержки Nutanix AHV в нем не оказалось, и это, к сожалению, расстроило и обескуражило многих наших клиентов.

Инсайдерские сведения из Veeam говорят, что поддержка Veeam потребовала дополнительных циклов проверок и тестирования, и это было причиной, отчего поддержка AHV в Veeam Backup and Replication 9.5 не вышла в составе Update 3, а будет выпущена отдельно, «в ближайшие неделю-две». Фактически, она уже готова.
Продукт под AHV будет выпущен в статусе «Beta», и в виде Appliance, подобно тому, например, как работает Comtrade HYCU. Это позволяет выпускать и обновлять этот продукт независимо от основного B&R, при этом в Update 3, основном модуле, уже сделаны все необходимые изменения и поддержка для его работы в части бэкап репозитория. Так что как только этот appliance для AHV появится, его можно будет установить и подключить к репозиторию обновленного B&Rv9.5U3.
У этого appliance под AHV будет свой собственный цикл разработки и обновлений, что позволит выпускать его чаще, обновлять оперативнее, и добавлять софтверные фичи независимо от довольно неспешно развивающегося B&R.

Обратите внимание, что Veeam экспериментирует со схемой лицензирования, и Veeam for AHV будет лицензироваться по-новому для продуктов компании, «per VM». Выгодно это будет или нет — считайте, «снизу» на цены бэкапного решения давят шустрые новички (в ряде случаев даже Commvault обходится пользователю дешевле, чем Veeam). Возможно, для небольших инсталляций, это будет плюсом.

Не забудьте давать обратную связь для Veeam, как через официальный канал поддержки, так и через форум: https://forums.veeam.com/veeam-backup-replication-f2/nutanix-ahv-t35904-135.html

Конфигурация «1-Node» Nutanix

Как вы уже наверное слышали, у Nutanix появляется особый класс систем, которые я в целом затрудняюсь называть «кластер». Это однонодовые системы, которые, подобно тому, что вы уже, возможно, видели в Community Edition, могут работать как «кластер, состоящий из одной ноды». Раньше мы такое позволяли использовать в качестве Backup Target, а вот теперь, хорошо подумав, разрешили использовать и для запуска VM. Но подумали мы и правда тщательно, и вот ниже я перечислю все моменты, о которых вам будет нужно знать, прежде чем вы будете интересоваться предметно таким «сверхдешевым» Nutanix.

Пункт номер ноль. Это НЕ SMB решение. Это решение для рынка так называемого ROBO (Remote Office/Branch Office). Поэтому минимальная закупка таких 1-Node Nutanix — 10 штук.
То есть если у вас структура компании с множеством (десятком и более) небольших удаленных филиалов, и вы выбрали Nutanix в качестве решения для основной инфраструктуры, и при этом вам нужно оснастить Nutanix-ами филиалы и удаленные офисы, на которых практически нет вычислительной задачи, а данные для защиты все равно реплицируются на «большой» Nutanix в головной компании, то вот тогда это то, что вам нужно. В филиалы тогда идут недорогие однонодовые Nutanix, управляемые из Prism Central головного офиса. И в целом вы решаете задачу защиты данных через их репликацию в центральную систему, минимальная локальная защита у вас будет (об этом ниже). При этом типовая задача у вас для такого офиса — держать «AD, DHCP, DNS, Firewall, VPN до «головы», пять VDI операционистов, почту и файлопомойку» — то с этим вот сюда. Получается такой «филиальный допофис-ин-э-бокс», заливаемый за 30 минут и готовый к использованию «просто включи в сеть».

1. Пока мы подготовили две специальные модели для этого направления, это NX-1175S-G5 (1N1U) и NX-1155-G5 (1N2U). Обратите внимание, 1175S означает single socket, 1 pCPU. Модель 1155 уже была доступна, это 1-Node Backup Target, теперь на ней разрешено запускать Guest VMs.

Конфигурация NX-1175S-G5:
CPU: 1x 2620v4 (8-core) or 1x 2650v4 (12-core)
Memory: 64G or 96G or 128G or 256G
Hybrid:
SSD: 2x 480G or 2x 960G or 2x 1.9TB
HDD: 2x 2TB or 2x 4TB or 2x 6TB
All-Flash:
SSD: 4x 480G or 4x 960G or 4x 1.9TB
Network: 2x1GbE LOM (built-in) + Add-on NIC (Optional) : 2x1GbE or 2x10GbE (SFP+ or Base-T)
Power Supply: 1 (only!)

Сетевая конфигурация, доступная для NX-1155-G5:
4x1GbE, Add-on NIC (Optional): Dual-Port 10 GbE SFP+, Dual-Port 10 GbE BASE-T, or Quad-Port 10 GbE SFP+

2. «Расширение кластера» для 1-Node нет и не планируется. То есть, купить и установить 1-Node, потом докупить еще две и расширить на них, сделав «полный» кластер нельзя.
Однако можно собрать «большой» Nutanix Cluster из трех и более NX-1175S, но только НЕ расширением 1-Node, а переинсталляцией, с нуля. Дальше такой 1375S можно скейлить обычным для Nutanix способом, это будет обычный трех- и более нодовый кластер Nutanix из 1U Single CPU нод 1175S.

3. CVM на такой системе занимает 6 vCPU и 20GB RAM

4. Так как наша архитектура подразумевает репликацию блоков, то даже на 1-Node она будет, просто две копии блока будут храниться локально. Это не защитит от отказа контроллера или ноды целиком, но отказ одного HDD это может помочь пережить без потери данных. Отказоустойчивость предполагается решать репликацией на main cluster и локальными бэкапами, например с помощью Comtrade HYCU на сторонний NAS.
Так что репликация RF=2 будет, и usable space все равно будет ~50% от raw физических дисков.

5. Нет: дедупликации, ABS и AFS, Erasure Coding, Capacity Analysis на Prism Central.

6. Async DR (репликация на Nutanix в другом DC) — минимальный цикл 6 часов (RPO). Metro Availability конечно же нет тоже.

7. Отказ ноды — ожидаемо offline всего на ней содержащегося.

8. Отказ SSD (одного из двух) — переход хранилища в read only.

9. Гипервизоры: для 1175S — AHV и ESXi, для 1155 — только AHV. Hyper-V нет ни для одной модели.

10. Минимальная версия AOS — 5.5

Чуть позже, как только они будут объявлены, я расскажу и про вариант перечисленного, который будет носить название «2-Node».

AHV Turbo Mode — первые результаты

Интересные результаты показали наши разработчики для AHV Turbo Mode (AKA Frodo).

Напомню, AHV Turbo Mode, как внутренний project codename называвшийся Frodo, это новый способ работать с дисковым хранилищем в Nutanix AHV, оптимизация пути передачи данных и более высокая параллельность обработки очередей, которые теперь могут обрабатываться большим числом ядер CPU на хост-машине, чем было до того в vanilla QEMU. Он появился впервые в AOS 5.5, вышедшем на прошлой неделе.
Это улучшение особенно важно для AllFlash и NVMe машин, выходящих у нас в свет следующем году.
Как вы видите из графика, на обычной VM рост производительности ввода-вывода при увеличении числа параллельных операций практически останавливается в районе 30-40 Outstanding Requests, при этом с использованием AHV Turbo Mode он продолжает свой рост вплоть до 128. Это отличный потенциал для роста производительности для новых AllFlash, так как проявляется эта новая возможность прежде всего на них.