206: vRO 7.1 ve SSL tanımlamaları (VAMI)

Bir önceki yazımda vRO servislerinin SSL sertifikalarını CA-signed sertifikalar ile değiştirmiştik. Şimdi ise, VMware tarafından hazırlanan appliance çözümlerde bulunan VAMI (Virtual Appliance Management Interface) servisinin SSL sertifika güncellemesinden bahsedeceğim.

vCenter Server Appliance 5.5 versiyonunda vpxd sertifikasını güncellediğimizde VAMI için özel bir aksiyon almamıza gerek kalmıyordu. Ancak son dönemde karşılaştığım bir çok appliance üründe bu eksiklik dikkatimi çekiyor, SSL sertifikaların güncellenmesi sonrası VAMI servisi için de güncelleme yapmamız gerekiyor.

Daha önceden VCSA 6.0 için uyguladığımız prosedürden biraz daha farklı olacak.  Daha önceki prosedürümüzde elimizde private key mevcut idi, dolayısı ile private ve public key’ler ile oluşturduğumuz PEM dosyası ile konfigürasyonumuzu tamamlamıştık. vRO senaryomuzda direk olarak elimizde private key olmadığından önce bunu elde etmemiz gerekmektedir. Yapacağımız işlemler sırası ile aşağıdaki gibi olacaktır.

  1. Private key’i elde etmek
  2. Private ve public key ile PEM dosyasını oluşturmak
  3. Lighttpd konfigürasyon dosyasını güncellemek

Private Key:

Aslında private key elimizde yok değil ancak keystore içerisinden bunu çekip çıkarmamız gerekiyor. Öncelikle keystore şifresine ihtiyaç duyacağız, keystore.password dosyasından bunu alabiliriz.

  • cat /var/lib/vco/keystore.password

JKS içerisinde bulunan private key’i, daha esnek ve okunabilir bir format olan PKCS12 formatına çevireceğiz. Hem hedef hem de kaynak keystore şifreleri için aynı şifreyi kullanabilirsiniz.

  • keytool -v -importkeystore -srckeystore jssecacerts -srcalias dunes -destkeystore vroCertRequest.p12 -deststoretype PKCS12

Yeni PKCS12 içerisinden private key bilgilerine erişeceğiz. Burada gördüğümüz veri bizim private key’imizin şifrelenmemiş halidir. Bu noktadan sonra private key’in sorumluluğu tamamen bize aittir !!!

  • openssl pkcs12 -in vroCertRequest.p12 -nocerts -keytool nodes

Yukarıda bahsettiğim veri ile ayrı bir dosya oluşturulur.

  • vi vroCertRequest.key
  • —–BEGIN PRIVATE KEY—– ve —–END PRIVATE KEY—– kısımlarını da kapsayacak şekilde kopyala-yapıştır yapılır.
  • Dosya kaydedilir (:wq!)

PEM dosyasını oluşturmak:

Artık elimizde hem public hem de private key olduğundan dolayı PEM dosyasını oluşturabiliriz.

  • cat vroCertRequest.key vroCertRequest.crt > vroCertRequest.pem

VAMI arka planda vami-lighttp isimli bir servis üzerinde çalışır. Oluşturduğumuz bu PEM dosyasını servisin diğer konfigürasyon dosyalarının bulunduğu klasöre kopyalarız.

  • cp /etc/vco/app-server/security/vroCertRequest.pem /opt/vmware/etc/lighttpd/

vro7

Konfigürasyon güncellemeleri:

SSL ile ilgili tanımlamalar lighttpd.conf dosyası içerisinde bulunmaktadır. vi ile dosyaya erişip, ssl.pemfile değişkenini güncellememiz yeterli olacaktır.

  • vi /opt/vmware/etc/lighttpd/lighttpd.conf
  • ssl.pemfile = “/opt/vmware/etc/lighttpd/vroCertRequest.pem”

Servis yeniden başlatılır.

  • service vami-lighttp restart

vro8

Benim vRO senaryomda gerekmedi ancak ara kademe sertifika otoritesi kullandığımız bir takım senaryolarda, konfigürasyon dosyasında bunu da belirtmemiz gerekebilir. Eğer bu senaryo ile karşılaşırsanız, aşağıdaki parametre ile bunu gerçekleştirebiliriz.

  • ssl.ca-file = “/opt/vmware/etc/lighttpd/CA.crt”

Eğer daha fazla tanımlamaya ihtiyaç duymamız durumunda, kullanılabilecek parametreler listesi aşağıdaki gibidir:

option description
ssl.engine enable/disable ssl engine
ssl.pemfile path to the PEM file for SSL support (Should contain both the private key and the certificate)
ssl.ca-file path to the CA file for support of chained certificates
ssl.dh-file path to the PEM file for Diffie-Hellman key agreement protocol (lighttpd >= 1.4.29 only)
ssl.ec-curve defines the set of elliptic-curve-cryptography domain parameters known as a “named curve” (lighttpd >= 1.4.29 only)
ssl.use-sslv2 enable/disable use of SSL version 2 (lighttpd < 1.4.21 only, newer version don’t support SSLv2)
ssl.use-sslv3 enable/disable use of SSL version 3 (lighttpd >= 1.4.29 only)
ssl.cipher-list Configure the allowed SSL ciphers
ssl.honor-cipher-order enable/disable honoring the order of ciphers set in ssl.cipher-list (set by default when ssl.cipher-list is set)
ssl.disable-client-renegotiation enable/disable mitigation of client triggered re-negotiation (see CVE-2009-3555). Important: This setting can only be set globally!
ssl.verifyclient.activate enable/disable client verification
ssl.verifyclient.enforce enable/disable enforcing client verification
ssl.verifyclient.depth certificate depth for client verification
ssl.verifyclient.exportcert enable/disable client certificate export to env:SSL_CLIENT_CERT
ssl.verifyclient.username client certificate entity to export as env:REMOTE_USER (eg. SSL_CLIENT_S_DN_emailAddress, SSL_CLIENT_S_DN_UID, etc.)
Kategoriler:VMware Etiketler:,

205: vRO 7.1 ve SSL tanımlamaları

vRealize Orchestrator (vRO) 7.1, eğer OVA versiyonunu tercih ederseniz kurulumu son derece basit olan bir uygulama. Doğru network parametreleri ve sunucu tanımlamalarını OVA kurulum aşamasında girerseniz, bir kaç dakika içerisinde çalışır bir vRO sunucusuna sahip olacaksınız. Bu yazıda temel kurulumun tamamlandığını varsayıp, SSL tanımlamalarının nasıl yapılabileceğinden bahsedeceğim.

Not: vRO ile ilgili genel bilgiler için bir önceki yazımı inceleyebilirsiniz. 

vRO’yu ilk kurduğumuzda, içerisinde private ve public key’leri barındıran bir JKS (Java keystore) ile gelir. Eğer özel bir şirket politikası veya daha farklı bir algoritma ile şifreleme ihtiyacı söz konusu değil ise, varsayılan keystore ve private key kullanılabilir.

SSL sertifika güncellemesi konusunda genel adımlara bakacak olursak;

  1. Elimizdeki private key ile CSR (certificate request) oluşturmak
  2. Bu CSR ile, CA sunucusu üzerinden imzalanmış sertifika üretmek
  3. RootCA ve varsa SubCA sertifikalarını trusted keystore içerisine eklemek
  4. Keystore içerisine imzalanmış sertifikayı eklemek

CSR oluşturmak:

Öncelikle varolan keystore üzerinde işlem yapacağımızdan dolayı, keystore şifresine ihtiyacımız var. Keystore şifresi ilk boot esnasında rastgele olarak üretilir, dolayısı ile her sunucuda farklı şifre kullanılır. Aşağıdaki dosya bize kompleks bir string dönecektir.

  • cat var/lib/vco/keystore.password

Keystore üzerinde yer alan sertifikaları listelemek için keytool komutu sonrasında şifreyi girmemiz gerekecektir. Gelen çıktıda PrivateKeyEntry olarak görünen kaydın alias bilgisini kullanacağız, vRO için bu dunes olacaktır.

  • keytool -list -keystore /etc/vco/app-server/security/jssecacerts

CSR dosyasını oluşturmak için yine keytool kullanıyoruz. Aşağıdaki komut sonrasında .csr dosyası oluşacaktır. Keystore.password birinci adımda elde ettiğimiz şifre olacaktır.

  • keytool -certreq -alias dunes -keypass keystore.password -keystore /etc/vco/app-server/security/jssecacerts -file /etc/vco/app-server/security/vroCertRequest.csr -storepass keystore.password

vro3

CSR ile sertifika oluşturmak, kullandığımız CA ürününe göre farklılık gösterecektir, eğer Microsoft temelli bir CA kullanıyorsak, imzalanma süreci sonrasında elimizde Base64-encoded bir sertifika dosyası (.crt veya .cer uzantılı) olacaktır.

RootCA ve SubCA sertifikalarını trusted keystore içerisine eklenmesi:

Bu işlemi Orchestrator Control Center üzerinden yapabiliriz. Control Center, vRO ile ilgili tüm sistemsel konfigürasyonları yapabileceğimiz arayüzdür ve https://vroserver:8283/vco-controlcenter/#/ linki üzerinden erişilebilir. Buradan Certificates menüsünü seçeriz. Normal kurulumda trusted certificates menüsünün boş olmasını bekleriz. İşte buraya elimizdeki Base64-encoded olarak CA sunucumuzdan edindiğimiz RootCA ve varsa SubCA sertifikalarını eklememiz gerekmektedir. Bunun için Import’a tıklarız ve “Import from PEM-encoded file” seçeneğini seçeriz. Sertifika zincirinde yer alan her sertifika otoritesi için bu işlemi tekrarlamamız gerekecektir. Sonucunda aşağıdaki gibi görünecektir.

vro4

Orchestrator sertifikasını güncellemek:

Artık son nokta, “Orchestartor Server SSL Certificate” menüsü altında bulunan sunucu sertifikasını güncellemek. “Trusted Certificates” menüsünde olduğu gibi burada da Import seçeneğini kullanabilir ve PEM-encoded sertifika dosyamız var ise, buradan işlemi tamamlayabiliriz. Ancak bizim senaryomuzda elimizde bulunan sertifika PEM-encoded olmadığından, bu işlemi SSH üzerinden gerçekleştirmek durumundayız. Aksi taktirde vRO bize aşağıdaki şekilde nasihat verecektir.

vro5

Sunucuya yeniden SSH yaparız ve aynı zamanda elimizdeki sertifika dosyasını, WinSCP benzeri bir araç yardımı ile /etc/vco/app-server/security altına kaydederiz. Ben vroCertRequest.crt dosya ismini kullandım. Sonrasında keytool komutu ile keystore içerisine sertifikamızı ekleyebiliriz.

  • keytool -importcert -alias dunes -keypass keystore.password -file /etc/vco/app-server/security/vroCertRequest.crt -keystore /etc/vco/app-server/security/jssecacerts -storepass keystore.password
    • Certificate reply was installed in keystore

İşlem tamamlandığında vRO sunucusunu yeniden başlatabiliriz. Artık sertifika uyarısı almamamız gerekmektedir.

vro6

vRO servislerinin güncellenmiş olması maalesef işimizin bittiği anlamına gelmiyor. Bilindiği üzere 5480 portu üzerinden çalışan VAMI (Virtual Appliance Management Interface) servisinin de sertifikasının değişmesi gerekiyor. Bir sonraki yazımda da bunu nasıl yapabileceğimizi göreceğiz.

Kategoriler:VMware Etiketler:,

204: vRealize Orchestrator 7.1

26.09.2016 1 yorum

vroYaklaşık bir ay kadar önce, VMware vRealize Orchestrator ürününün 7.1 sürümünü yayınladı. Kısa adıyla vRO, IT altyapınızda işlettiğiniz proseslerin, ki bu sadece vSphere ile alakalı olmak zorunda değil, otomasyonunu sağlayan güçlü bir araçtır. Eski adı vCO (vCenter Orchestrator) olan bu ürün, My VMware sayfanızda “vRealize Automation” bölümü altından erişilebilir durumdadır, ister OVA olarak, ister de Windows kurulum paketi olarak indirebilirsiniz. Eğer özel bir sebebiniz yok ise OVA versiyonu işinizi görecektir, özellikle de kurulum kolaylığı göz önünde bulundurulduğunda.

vRO, eğer elinizde vCenter lisansınız var ise, ücretsiz kullanabileceğiniz bir üründür. vRA veya vCloud Suite gibi ürünler ile etkinliği çok daha artırılabilir ancak bahsettiğimiz gibi şart da değildir.

Eğer OVA versiyonunu tercih ederseniz, Suse Linux Enterprise Server 11 Update 3 üzerine kurulu hazır bir sistem olarak gelecektir. Sistem içerisinde vRO için gerekli tüm yazılımlar kurulu olmakla birlikte, PostgreSQL bir veritabanı da bütünleşik olarak gelmektedir. Ancak 7.1 versiyonu ile birlikte, eğer isterseniz, harici Oracle, MSSQL ve PostgreSQL veritabanları da desteklenmektedir.

vro2

vRO’nun bir diğer bileşeni kimlik doğrulama sağlayıcılarıdır. Bir kullanıcı vRO Client uygulaması ile bağlantı kurmak istediğinde, tanımlı olan “authentication provider” kimlik doğrulama işlemini gerçekleştirir. vRO 7.1 ile birlikte bütünleşik olarak ApacheDS LDAP servisi gelmektedir ancak aşağıda desteklenen sağlayıcıların biri ile tanımlamanın güncellenmesi daha uygun olacaktır.

LDAP Authentication: Her hangi bir harici LDAP sunucusu ile entegre olmasını sağlar. İleride gelecek versiyonlarda bu destek kaldırılacaktır, dolayısı ile kullanılmaması önerilmektedir.

vRealize Automation Authentication: Eğer ortamınızda vRA kullanılıyorsa tercih edilen yöntemdir, vRA üzerinden kimlik doğrulamasının yapılması sağlanır.

vSphere Authentication: Platform Services Controller üzerinden kimlik doğrulamasının yapılabilmesini sağlar. vRA olmayan senaryo için tercih edeceğimiz yöntem bu olmalıdır, tabi 6.0 ortamları için.

VMware SSO Authentication (legacy): vSphere 6.0 olmayan ortamlar için kullanabileceğimiz kimlik doğrulama yöntemidir.

Veritabanı ve kimlik doğrulama bileşenlerinin yanında, en önemli bileşen ise, harici teknolojilere ve uygulamalara erişim ve kontrol yeteneği sağlayan plug-in’lerdir. vRO, yukarıdaki görselde de görülebileceği üzere, tamamen modüler bir yapıya sahiptir. Uygulama kurulduğunda bir çok plug-in kurulu olarak gelir ancak aşağıdaki liste haricinde entegrasyona ihtiyaç duymanız durumunda Solution Exchange sayfasına da göz atabilir, bulduğunuz plug-in’lerin kurulumunu yapabilirsiniz. vRO ile birlikte kurulu gelen plug-in’ler:

vRealize Automation Center Infrastructure Administration Plug-In 7.1.0
vRealize Automation Plug-In 7.1.0
vRealize Orchestrator vCenter Server Plug-In 6.5.0
vRealize Orchestrator Mail Plug-In 7.0.1
vRealize Orchestrator SQL Plug-In 1.1.4
vRealize Orchestrator SSH Plug-In 7.0.1
vRealize Orchestrator SOAP Plug-In 2.0.0
vRealize Orchestrator HTTP-REST Plug-In 2.1.0
vRealize Orchestrator Plug-In for Microsoft Active Directory 3.0.2
vRealize Orchestrator AMQP Plug-In 1.0.4
vRealize Orchestrator SNMP Plug-In 1.0.3
vRealize Orchestrator PowerShell Plug-In 1.0.9
vRealize Orchestrator Multi-Node Plug-In 7.1.0
vRealize Orchestrator Dynamic Types 1.2.0
vRealize Orchestrator vCloud Suite API (vAPI) Plug-In 7.1.0
vRealize Orchestrator Plug-In for vRealize Automation 7.1.0

vRO kurulum ve konfigürasyonunu tamamladıktan sonra, yukarıdaki paketler içerisinde yüzlerce iş akışının kullanılmaya hazır olduğunu göreceksiniz. vRO, açık kaynak olarak geliştirilen, Mozilla Rhino Javascript motorunu kullanmaktadır, dolayısı ile varolanın üzerine kod geliştirmek istersiniz, javascript bilginizin olması gerekecektir.

Bu yazıda vRO’yu kısaca tanıdıktan sonra, bir sonraki yazımda kurulum ve SSL konfigürasyonuna değineceğim.

Kategoriler:VMware Etiketler:

203: vCenter Server Appliance migration tool

vCenter Server 5.5 versiyonu ile birlikte artık tamamen olgunlaştığını düşündüğüm sanal appliance versiyonunu yaklaşık iki senedir tecrübe ediyorum ve bunun ile ilgili zaman zaman edindiğim tecrübeleri de fırsat buldukça paylaştım (buradaburada, burada, burada ve burada). Windows versiyonuna göre daha fazla avantajı barındırdığını düşündüğüm appliance versiyonuna, VMware da büyük önem veriyor ve vizyonunu bu tarafa yönlendirmiş durumda. Ancak vCenter servisi halihazırda Windows bir sunucuda çalışıyor ise, maalesef bunu appliance’a geçirmenin kolay bir yolu yoktu. Bunu gerçekleştirmek için, yeni bir vCenter kurup (appliance), tüm konfigürasyonlarınızı yapıp, ESXi sunucularınızı bu yeni vCenter’a taşımanız gerekecekti, yani bir hayli planlama, konfigürasyon ve aksiyon anlamına geliyor.

screen-shot-2016-09-16-at-18-47-37Bu durumun farkında olan VMware, uzun süredir bu konu üzerinde geliştirme yapıyor idi, VCS to VCSA Converter aracı bunu hedefliyor. Ancak yakın zamanda bu geliştirmeye son verildi ve dün itibari ile VMware vCenter Server 6.0 Update 2m yayınlandı. Bu son sürüm içerisine de “Windows vCenter Server to vCenter Server Appliance Migration Tool” entegre edildi. Daha önceki sürümden farklı olarak, 2m migration’ı ifade etmekte. Bu araç ile artık uçtan uca geçişin gerçekleştirilebilmesi hedefleniyor, vCenter seviyesinde her hangi bir parametrenin (hatta UUID’lerin bile) değişmesine gerek kalmadan.

Bu güncelleme paketi her zaman olduğu gibi MyVMware sayfasından indirilebilir. Diğer paketten farklı olarak içerisinde her hangi bir güncelleme ya da patch içermiyor. Tamamen VCSA taşınmasına yönelik bir paket. Zaten ISO’yu bağlayıp, vcsa-setup.html çalıştırdığınız zaman fark net olarak belirecektir. Daha önceki sürümde Install ve Upgrade seçeneklerini görebiliyorken, 2m sürümü ile birlikte sadece Migrate seçeneğini görebileceksiniz.

vcsamigrate2

Tüm bu migration süreci içerisinde ortamlar ve migration parametreleri ile ilgili kontroller yapılacak, sonrasında ise verdiğimiz parametreler doğrultusunda yeni bir vCenter appliance kurulup, konfigürasyonu yapılıp, veri taşımaları gerçekleştirilecek (side-by-side migration).

Bu migration aracı ile ilgili dikkat edilmesi gereken noktalar aşağıdaki gibi;

  • Migration esnasında, eski vCenter sunucunuz kapanacaktır ve işlem boyunca kapalı kalacaktır, dolayısı ile zaman planlaması önemli. Eğer acil olarak vCenter sunucunuzu devreye almak zorunda kalırsanız veya işlem başarısız olursa, appliance olanı kapatıp, eski sunucunuzu açabilirsiniz.
  • Windows vCenter 5.5 versiyonundan Appliance 6.0 U2 versiyonuna güncelleme destekleniyor. İlerleyen zamanlarda Windows vCenter 6.0 versiyonundan geçiş de desteklenecek.
  • Windows vCenter 5.5 versiyonunda veritabanı olarak tüm opsiyonlar destekleniyor ve appliance sunucuda entegre vPostgres’e dönüştürülüyor.
  • Windows vCenter 5.5 sunucusu sanal veya fiziksel olabilir.
  • Simple ve custom kurulum topolojileri destekleniyor. Bunu aşağıdaki gibi gösterebiliriz. Ancak migration esnasında topolojinin değişimi desteklenmiyor.
Source
Destination
vCenter SSO 5.5 (custom install)
PSC 6.0 Update 2 Appliance (external deployment)
vCenter Server 5.5 (custom install)
vCenter Server Appliance 6.0 Update 2 with external PSC
vCenter SSO 5.5 + vCenter Server 5.5
vCenter Server Appliance 6.0 Update 2 with embedded PSC
  • Update Manager ayrı bir Windows sunucu üzerinde kurulu ise her hangi bir sıkıntı yok. Aksi taktirde ayrı bir Windows sunucuya yeniden kurulum yapılması gerekecektir.
  • Konfigürasyon ve envanter verileri otomatik taşınacaktır. Performans verileri, task ve event verileri ise seçimli.

YouTube üzerinde yayınlanan videoya buradan erişebilir, ayrıca farklı kaynaklara erişebilmek amacı ile #migrate2vcsa etiketini de kullanabilirsiniz. Konu ile ilgili bulabildiğim dört adet KB’yi de aşağıda paylaşıyorum.

  1. Migrating vCenter Server 5.5 to vCenter Server Appliance 6.0 U2m FAQ (2146439)
  2. Estimating vCenter Server 5.5 to vCenter Server Appliance 6.0 migration time (2146420)
  3. Rolling Back a Migration of vCenter Server 5.5 on Windows to vCenter Server Appliance 6.0 U2m or Later (2146453)
  4. Active directory user permissions required for Windows vCenter to vCenter Server Appliance Migration (2146454)
Kategoriler:VMware Etiketler:

202: VMworld içeriklerine kısıtsız erişim

VMworld, IT dünyasından onbinlerce profesyonelin bir araya geldiği ve keynote konuşmaları, paralel sunumları, sergi alanı ve eğitim labları ile dopdolu geçen bir etkinlik. Daha önceki senelerde sadece etkinliğe katılma şansını yakalamış iseniz bu ayrıcalıklardan faydalanabilme şansınız vardı. Artık VMware, sergi alanı dışında gerçekleşen coğu aktiviteyi, etkinliğe katılma şansını yakalayamamış kişilerin de erişimine sunuyor.

Öncelikle keynote konuşmalarına VMworldTV adındaki YouTube hesabından erişebilirsiniz. Bunun yanısıra, yine aynı hesap altında popüler bir takım sunumların videolarına da erişebiliyorsunuz. Şu an itibari ile yaklaşık 15 civarı video görebiliyorum ancak zamanla sayısı artacaktır.

Ama bence aslı güzel haber, geri kalan tüm sunumların da artık erişilebilecek olması. Geçen senelerde, etkinlikten uzun bir süre sonra sunumları genel erişime açan VMware, bu sene bu konudaki tutumunu değiştirmiş görünüyor. Siz de VMworld.com üzerinden, basit bir kayıt ekranı sonrasında tüm kataloğa erişebilirsiniz. Gördüğüm tek eksik offline izleme seçeneğinin olmaması ancak sunumlara erişebildiğim sürece bunu dert edeceğimi zannetmiyorum :)

vmworld4

Eğer bu yoğun içerik içerisinde nereden başlayacağına bir türlü karar veremeyenler için, VMware, günlük olarak en çok talep gören 10 adet sunumu da listelemeyi ihmal etmemiş. Listeyi aşağıda paylaşıyorum.

Son olarak, VMworld 2016 HOL lab ortamlarına da erişim sağlayabiliyoruz.  Kesinlikle tavsiye edilir.

Pazartesi:

  • Advances in Remote Display Protocol Technology with VMware Blast Extreme
  • What’s New with Horizon 7
  • Enforcing a vSphere Cluster Design with PowerCLI Automation
  • Getting Started with PowerShell and PowerCLI for Your VMware Environment
  • Ask the vCenter Server Experts Panel
  • The KISS of vRealize Operations!
  • NSX – The Network Bridge to the Multi-cloud Future
  • Virtual Volumes Technical Deep Dive
  • VSAN Vision: The Future of HCI
  • Virtualize Active Directory, the Right Way!

Salı:

  • Containers for the vSphere Admin
  • Troubleshooting 101 for Horizon
  • Extreme Performance Series: vSphere Compute and Memory
  • The Power Hour: Deep Dive, DevOps, and New Features of PowerCLI
  • vSphere 6.x Host Resource Deep Dive
  • Advanced Network Services with NSX
  • How to Deploy VMware NSX with Cisco Infrastructure
  • Veeam Availability Suite 9.5 Deep Dive
  • Containers & VVols – a technical deep dive on new technologies that revolutionize storage for vSphere
  • Monster VMs (Database Virtualization) Doing IT Right

Çarşamba:

  • Ask the Experts – Titans of Tech
  • VMware Chief Technology Officer Panel – Trends and Futures
  • Beyond the Marketing: Horizon Instant Clones Deep Dive
  • vSphere DRS Deep Dive: Understanding the Best Practices, Advanced Concepts, and Future Direction of DRS
  • The vCenter Server and Platform Services Controller Guide to the Galaxy
  • Troubleshooting vSphere 6: Tips and Tricks for the Real World
  • Journey to the vCenter Server Appliance: A Migration Story
  • Managing vSphere 6.0 Deployments and Upgrades
  • vRealize Operations Capacity Explained
  • A Beginner’s Guide to the Software-Defined Data Center

Perşembe:

  • From Zero to VMware Photon Platform
  • The Latest in High-Performance Desktops and Applications with Horizon 7, Blast Extreme Protocol, and NVIDIA GRID vGPU
  • Extreme Performance Series: vCenter Performance Deep Dive
  • vSphere Client Roadmap: Host Client, HTML5 Client, and Web Client
  • VMware Certificate Management for Mere Mortals
  • Troubleshooting vSphere 6: Tips and Tricks for the Real World
  • An IT Architect’s Guide to the Software-Defined Data Center
  • Architecting Site Recovery Manager to Meet Your Recovery Goals
  • The Best of Both Words: Achieving SQL Server High Availability with VMware
  • Monster VMs (Database Virtualization) Doing IT Right
Kategoriler:VMware Etiketler:

201: VMworld US 2016 sonrası

vmworld1VMworld 2016’nın Amerika bacağı, bu sene Las Vegas’da, yüzlerce paralel sunum, hands-on çalışmalar, irili ufaklı 200+ üreticinin bulunduğu sergi alanı, açılış konuşmaları ve yaklaşık 23.000 katılımcı ile tamamlandı. Her ne kadar orada bulunma şansım olmasa da, bu dört günlük zaman dilimi içerisinde hem VMware’ın vizyonu hakkında bilgilerimizi güncelleme hem de ürünler hakkında son gelişmeleri öğrenme şansını yakaladık. YouTube üzerinden keynote konuşmalarına erişebilirsiniz (Gün1 Keynote, Gün2 Keynote).

İlk günün açılış konuşması daha ziyade strateji ve vizyon içerikli iken, ikinci günün konuşması biraz daha teknik konulara ve demolara dokunur nitelikteydi. İki gün boyunca, VMware’ın vizyonunu yansıtan aşağıdaki görseli bol miktarda görme şansını yakaladık.

vmworld2

Tüm bahsedilen konular içerisinde elbette “One Cloud” vizyonu başı çekiyor ve VMware bu alanın güçlü oyuncuları arasında yer edinme çabasını devam ettiriyor. Sunumlar esnasında yapılan büyük lansman, VMware Cross-Cloud Architecture oldu. Bu mimari ile birlikte sadece IBM veya vCloud Air gibi VMware platformu üzerinde çalışan bulut altyapıları değil, Amazon AWS, Microsoft Azure ve Google Cloud Platform gibi mega-cloud yapıları da adreslenmiş durumda. Elbette KVM ve container yapısı üzerinde çalışan GCP, Hyper-V üzerinde çalışan Azure ve Xen üzerinde çalışan AWS ile bu entegrasyonun nasıl yapılacağı bir soru işareti ancak VMware belki de geç kalınmış bir insiyatifi ortaya koymaya başlamış görünüyor.

Bu yapın en önemli bileşeni VMware Cloud Foundation olacak. Cloud Foundation’ı, VMware’ın SDDC alanındaki en güçlü ürünlerini bir araya getiren (vSphere, VSAN, NSX) ve private cloud üzerinde kullanılan bu teknolojileri diğer cloud çözümlerine genişleten bir platform olarak düşünebiliriz. Bunu yaparken de elbette, otomasyon yetenekleri, yönetim ve güvenlik politikaları gibi unsurları da beraberinde getiriyor.

vmworld3

Bu lansman esnasında, IBM ile Şubat ayında başlatılan ortaklığın genişletildiğinin de duyurusu yapıldı. Böylece IBM, vCloud Air Network programının ilk çözüm ortağı ve Cloud Foundation hizmetini as-a-service olarak verebilecek olan ilk üretici oldu. vSphere ile private cloud pazarında lider konumunda bulunan ancak vCloud Air ile public cloud’da istediğini bulamayan VMware’ın, IBM’in SoftLayer platformu üzerinde müşterilerine hybrid cloud deneyimini sunabiliyor olmasının, karşılıklı bir kazan-kazan senaryosuna dönüşüp dönüşemeyeceğini zaman gösterecek, aynı zamanda IBM’in de diğer mega-cloud firmaları arasındaki konumunu nasıl etkileyeceğini de. Bu konudaki şahsi görüşüm, bu ortaklığın gayet anlamlı olduğu yönünde, özellikle de AWS ortalığı kasıp kavuruyor iken.

VMware Cross-Cloud Services ise henüz geliştirme aşamasında olan, Cloud Foundation ile verilen yeteneklerin sadece VMware katmanlarından oluşan yapılarda değil, AWS, Azure ve GCP gibi cloud yapılarında da yönetilebilmesini hedefliyor. Nasıl vSphere ile işletim sistemi donanımdan soyutlandıysa, NSX ile network trafiği ağ cihazlarından soyutlandıysa, hatta container mimarileri ile çalışan servisler işletim sisteminden soyutlandılarsa, gelecekte uygulamaların ve bileşenlerinin (VM veya container) cloud yapılarından soyutlanması da “gerçek” hibrid cloud deneyiminin tam olarak önünü açacaktır.

Bu esnada, Cross-Cloud mimarisinin gölgesinde de kalsa, aşağıdaki ürünlerin veya özelliklerin de lansmanları yapıldı:

Tüm bu lansmanlar içerisinde en çok tartışmaya sebep olan konu, ki kısmen benim de katıldığım söylenebilir, devops, CI/CD, cloud native apps gibi konuların ikinci sınıf vatandaş izlenimi vermiş olması. Hatta ilk günün sunumunda IaaS ve SaaS ile ilgili rakamlar verilirken PaaS’e hiç değinilmemiş olması çok enteresan geldi. Her ne kadar VIC tarafında duyurulan geliştirme az da olsa yüreklere su serpmiş olsa da, ben daha büyük gelişmelerin olabileceğini düşünüyordum. Genel olarak geçen sene ile aynı konulara değinilmiş olduğunu gözlemledim, en azından keynote konuşmalarında.

Not: Yeri gelmişken, VIC artık hem beta sürümü olarak edilinebilir (beta müşterisi olarak kayıt olmanız gerekiyor), hem de GitHub üzerinden indirilebilir durumda. 

Sıra, Ekim ayında gerçekleşecek olan VMworld Barcelona’da. Burada yapılan lansmanlara bakınca, geçen yıllara oranla biraz sönük kaldığını düşünüyorum, dolayısı ile daha fazlasının Avrupa’da yapılacağı yönünde beklentilerim var. Bakalım Barcelona’da neler göreceğiz?

Kategoriler:VMware Etiketler:

200: VMware üzerinde OS ve uygulama lisanslaması

Bir önceki yazıda Intel Xeon v4 işlemciler ile ilgili bilgi vermiştim (buradan ulaşabilirsiniz), 4 çekirdekten 22 çekirdeğe kadar uzanan geniş bir yelpaze içerisinde alternatiflerimiz olduğunu görmüştük. Konuya sadece ESXi bakış açısı ile, scale-up veya scale-out olarak baktığımızda karar vermemiz ve kümelerimizi şekillendirmemiz nispeten daha kolay. Ancak üzerlerinde çalışacak potansiyel işletim sistemleri ve uygulamaların sanal platformlara özel lisanslama modelleri artık yaptığınız dizaynı tek başına değiştirebilecek durumda. Bu yazıda, bu tip durumlara değinmek istiyorum.

İşletim Sistemleri:

Burada değerlendireceğimiz işletim sistemi Windows olacak. Zira Linux işletim sistemlerinde, bildiklerim dahilinde, çekirdek bazlı bir subscription modeli yok.

Bildiğiniz gibi Windows Server 2012 iki versiyon ile geliyor, Standard ve Datacenter. Bu iki versiyon arasındaki tek fark, destekledikleri sanal OSE sayısı (Operating System Environment, yani VM olarak düşünebiliriz). Eğer fiziksel sunucuyu Standard lisanslarsanız, bu size 2 sanal OSE imkanı verir, fiziksel sunucuyu aynı tip lisansdan istediğiniz sayıda lisanslayabilirsiniz.  Ancak eğer fiziksel sunucuyu Datacenter lisanslarsanız, sunucu üzerinde bulunan 2 adet soketi lisanslamış olursunuz ve bu fiziksel sunucu altında istediğiniz kadar VM konumlandırabilirsiniz demektir.

Microsoft tarafından yayınlanan güncel liste fiyatlarına göre, Datacenter lisansı, Standard lisansın yaklaşık 6.97 katı, yani 14 VM ve sonrasında Datacenter lisanslamak anlamlı kaçıyor. Buraya kadar hesap basit. 2016 işletim sistemi öncesi Windows sunucularınız için yüksek çekirdekli Segment Optimized işlemciler (E5-2699v4, E5-2698v4, E5-2697v4 gibi) iş görür görünüyor. Konsolidasyon oranı arttıkça Windows sunucu maliyeti düşecektir.

windows-servers-everywhere

Peki Windows Server 2016 ile birlikte ne değişiyor? Aşağıdaki şekilde listeleyebiliriz;

  • Fiziksel sunucular üzerindeki tüm çekirdekler lisanslanacak
  • Her fiziksel prosesör en az 8 core olarak lisanslanması gerekecek
  • Her fiziksel sunucu en az 2 prosesör gerektirecek, yani en az 16 core lisanslanacak
  • Core lisansları ikilik paketler halinde satılacak

Evet, artık soket bazlı değil, çekirdek bazlı bir hesaplamaya gidiliyor. Daha önceden almış olduğunuz Datacenter lisanslarınızı yine kullanabiliyor olacaksınız ancak dönüşüm soket başına 8 core olarak yapılacak. Yani, eğer iki soketli ve toplam 16 core’lu bir fiziksel sunucu üzerinde 2016 güncellemesi yapacaksanız, her hangi bir eksta maliyetiniz olmayacak. Eğer fiziksel sunucuda daha fazla çekirdek varsa, 2 core’luk lisans paketlerinden almanız gerekecektir.

Licensing1

Microsoft SQL Server 2016:

Microsoft SQL Server 2016, iki çeşit lisanslama modeli barındırıyor, Server+CAL ve Core lisansı. Core lisanslama modelinde, eğer az sayıda SQL sunucunuz varsa, direk sanal sunucuları lisanslama şansına sahipsiniz ancak aşağıdaki kurallar dahilinde;

  • Her bir sanal core için (hyper-thread açıksa bu thread’e tekabul edecektir) core lisansına ihtiyacınız var ve en az 4 core lisans ile lisanslamak zorundasınız.
  • Eğer SA’iniz varsa, lisansınızı fiziksel sunucular arasında dolaştırabilirsiniz. Eğer SA’iniz yoksa, vMotion operasyonları sonucunda oluşan bu lisans taşımasını 90 günde bir kere yapabilirsiniz.

Eğer çok daha yoğun ve dinamik bir MSSQL havuzunuz var ve tüm özellikleri kullanmak istiyorsanız, oluşturacağınız HA kümesinde tüm çekirdekleri Enterprise Edition + SA ile lisanslayabilirsiniz. Bu hem size küme dahilinde sınırsız MSSQL sunucusu oluşturma anlamında en esnek modeli oluşturacaktır, hem de konsolidasyon oranlarınız doğrultusunda maliyet avantajı getirecektir.

Bu arada Biztalk 2013 de benzer şekilde lisanslanıyor. Bunun haricinde Exchange Server gibi instance bazında lisanslanan uygulamalar için zaten özel bir durum söz konusu değil.

Oracle Teknolojileri:

Söz konusu Oracle lisanslaması ise konuşulacak çok fazla şey var demektir, bu hem lisans modelinin son derece karışık olmasından, hem de *şahsi kanaatim* anlamsızlığından ötürü. Burada tüm Oracle detaylarına giremeyeceğim ancak ileride gol yemek istemiyorsanız Oracle’ın Global Pricing and Licensing sayfasında yer alan tüm PDF’leri okuyun. Bu arada üretici firmalar arasında da tartışmalara konu olan bir konu Oracle lisanslama. VMware’ın bu konu ile ilgili dokümanına da buradan ulaşabilirsiniz.

Oracle’da da Microsoft’da olduğu gibi temelde iki çeşit lisans modeli görünüyor, NUP (Named User Plus, CAL benzeri) ve Prosesör lisansı. Ancak prosesör kavramı uygulamanın kullanılan versiyonuna göre değişiklik gösterebiliyor. Örneğin Enterprise versiyon kullanıyorsanız (Database Enterprise veya WebLogic Server Enterprise) prosesör kullanılan çekirdek anlamına geliyor ve toplam çekirdek sayısı üzerinden CPU tipine göre bir katsayı ile çarpılarak hesaplanıyor. Intel Xeon E5-2600 serisi işlemciler için de katsayı 0.5 olarak belirlenmiş durumda. Eğer Standard, Standard One veya Standard2 versiyon kullanıyorsanız, prosesör soket anlamına geliyor ve yine lisans ihtiyacı benzer şekilde hesaplanıyor.

Buraya kadar konu sadece karışık iken asıl sıkıntı “hard partitioning – soft partitioning” noktasından çıkıyor. Microsoft ürünlerinde bu tip bir ayrım olmadığından, istek doğrultusunda sanal kaynakları lisanslayabiliyoruz. Ancak Oracle buna, sadece hard partitioning yaptığını savunduğu platformlar için izin veriyor (Physical Domains, Solaris Zones, IBM LPAR, IBM Micro-Partitions, vPar, nPar, Fujitsu PPAR gibi). Oracle’ın yaptığı hard partition ve soft partitioning tanımı tam olarak aşağıdaki gibi;

Hard partitioning physically segments a server, by taking a single large server and separating it into distinct smaller systems. Each separated system acts as a physically independent, selfcontained server, typically with its own CPUs, operating system, separate boot area, memory, input/output subsystem and network resources.

Soft partitioning segments the operating system using OS resource managers. The operating system limits the number of CPUs where an Oracle database is running by creating areas where CPU resources are allocated to applications within the same operating system. This is a flexible way of managing data processing resources since the CPU capacity can be changed fairly easily, as additional resource is needed.

Bu tanım doğrultusunda VMware’ı soft kategorisinde değerlendiriyor ve sanal bir sunucu Oracle uygulaması çalıştırıyor ise, kısmi olarak lisanslanamayacağını, tüm hostun lisanslanması gerektiğini söylüyor. Eğer aynı uygulamayı barındıran iki adet sanal sunucu söz konusu ise ve live migration yapılabiliyorsa, ilgili havuz içerisinde en büyük kaynağa sahip iki host lisanslanmalı. Bu senaryo artimetik olarak artıyor. vSphere üzerinde de, artık neredeyse her yerden her yere vMotion yapılabildiğinden dolayı, Oracle’ın resmi dokümanlarında net olarak bulamamış olsam da, aşağıdaki argümanların çok sık gündeme geldiğine şahit olabiliyoruz;

  • Oracle uygulamasının çalıştığı tüm cluster lisanslanmalı
  • Oracle uygulamasının çalıştığı hostun bağlı olduğu vCenter’a bağlı tüm hostlar lisanslanmalı
  • Oracle uygulamasının üzerinde çalıştığı diskin bağlı olduğu tüm hostlar lisanslanmalı
  • Oracle uygulamasının canlı taşınabileceği DR ortamı lisanslanmalı, vs vs…

oracle-parking

Bu esnada, lisans maliyetini düşürmek adına aşağıda kullanmayı düşünebileceğiniz mekanizmalar da kabul edilmeyecektir;

  • BIOS içerisinden bir prosesörü kapatmak veya düşük core sayısında çalıştırmak
  • VM-Host DRS affinity kuralı tanımlamak (must-rule bile olsa)
  • Logical Processor Affinity kuralı oluşturmak

Oracle bu limitasyonlar ile, uygulamaları ve işletim sistemlerini donanım katmanlarından izole etmek amacı ile yoğun bir şekilde gündemde olan Software-Defined Datacenter ve Hyper-Converged mimarilerine ciddi şekilde lisans bariyeri koymuş görünüyor ve amacı konsolidasyon ve verimlilik olan bir çok yapıyı kullanamayacağınız anlamına geliyor, ancak ve ancak Oracle çalışan uygulamalar için “tamamen” izole ortamlar kurmaz iseniz (ki bu da konsolidasyon ve verimlilik açısından felaket anlamına geliyor)

Database Enterprise sürümünün, üzerine her hangi bir add-on konulmamış, prosesör lisansının liste fiyatının $47.500 olduğu düşünülürse (ki bu 24 core Intel Xeon bir sunucuda $570.000 yapar), CPU seçimi de bir o kadar önemli oluyor. Uygulamaların core bazında fiyatları arttıkça, hem yüksek frekansın yaratacağı avantajdan hem de core bazında L3 cache miktarının artması gibi sebeplerden dolayı düşük core sayılı ancak core performansı daha yüksek Frequency Optimized işlemciler ile scale-out bir yapı kurmak daha anlam kazanmaya başlayacaktır diye düşünüyorum.

Elbette, her hangi bir Oracle ürününü konumlandırmadan önce lisans etkilerini incelemek ve hatta belirli durumlarda alternatiflere yönelmek bir diğer seçenek. Geçenlerde okuduğum bir makalede, bir analist, Oracle’ın lisanslama ve cloud stratejilerinin müşterileri ileride “Orexit” seçimine götürüp götürmeyeceğini analiz ediyordu. Kim bilir…

Kaynaklar:

  1. Windows Server 2016 and System Center 2016 Pricing and Licensing FAQ
  2. SQL Server 2016 Licensing Datasheet
  3. Biztalk Server 2013 Licensing Datasheet
  4. Oracle Technology Global Price List 2016
  5. Oracle Partitioning Policy
  6. Oracle Database Licensing
Kategoriler:VMware Etiketler:, , ,
%d blogcu bunu beğendi: