Mein Vortrag auf der VMware Explore 2024

Ich werde auf der diesjährigen VMware Explore in Barcelona einen Vortrag zur Migration eines vSAN-Clusters halten. Es geht hierbei nicht nur um die technische Umsetzung, sondern vielmehr um den Weg der Entscheidungsfindung. Wenn Plan A nicht funktioniert sollte man einen Plan B bereit haben. Oder – wie in meinem Praxisbeispiel – einen Plan C und letztlich einen Plan D.

Der einfache Weg muss nicht immer der beste sein und auch eine wenig attraktive Alternative kann schließlich zum Erfolg führen.

CODE1405BCN

Der Vortrag ist imVMware Explore Content Catalog unter der Nummer 1405 gelistet.

Montag, 4 November – 15:00 Uhr CET.

Ich freue mich.

Wer nicht nach Barcelona kommen kann und dennoch an dem Thema interessiert ist (Spoiler Alert!), findet die ausführliche Geschichte hier auf meinem Blog.

17. Februar 202429. Dezember 2024

Ein tieferer Blick in vSphere Rollen und Berechtigungen

Ursprünglich sollte dieser Artikel „Das Rollen Paradoxon“ lauten. Bei längerer Betrachtung kam ich zu dem Schluss, dass es sich hier um kein Paradoxon im eigentlichen Sinne handelt. Das vCenter macht hier nur seine ihm aufgetragene Arbeit.

Berechtigungen unter vSphere sind prinzipiell simpel (so lange wir keine eingeschränkten Berechtigungen verwenden möchten). Wenn wir Mitglied der Administratorengruppe sind und uneingeschränkt auf alle Objekte im Datacenter zugreifen dürfen, sind Privilegien und Rollen schnell erklärt.

Begriffs-Definition

Ein Privileg ist die kleinste Einheit. Es erlaubt die Ausführung einer ganz bestimmten Aktion.

Eine Rolle ist eine Sammlung von Privillegien. Die Administrator-Rolle enthält alle verfügbaren Privilegien. Die No-Access-Rolle enthält dagegen keinerlei Privilegien. „No-Access“ ist hierbei nicht als explizites Verbot zu verstehen, sondern als Fehlen von Berechtigungen. Was zunächst nach einer semantischen Spitzfindigkeit aussehen mag, ist ein wichtiger Unterschied zu anderen Berechtigungskonzepten wie beispielsweise Active-Directory.

Fehlendes Privilleg != Verbot

Eine Berechtigung (Permission) setzt sich immer aus drei Komponenten zusammen: Einem vSphere-Objekt, einer Rolle und einem Benutzer bzw. einer Benutzergruppe. Ein Benutzer (oder eine Gruppe) kann auf unterschiedlichen Objekten unterschiedliche Rollen haben. Berechtigungen auf Objekten können in der Hierarchie optional nach unten vererbt werden.

Das Problem

Interessant wird die Sache wenn ich Rechte global vergebe, diese dann aber auf bestimmten Objekten einschränken möchte.

Beispiel: Die Gruppe der Administratoren soll auf alle Objekte Zugriff haben, mit Ausnahme einiger VMs in einem definierten VM-Ordner. Klingt simpel – ist es aber nicht.

Aufmerksam wurde ich auf die hier beschriebene Problematik durch meinen Kollegen Alexej Prozorov, der in einem Kundeprojekt auf dieses Phänomen stiess. Das Thema war so interessant, dass ich es im Labor nachstellen musste.

17. Januar 202415. März 2024

Fehler beim vCLS Retreat Mode führt zum Verlust aller Privilegien

Mit Einführung von vSphere 7.0 Update 1 erschienen in vSphere-Clustern erstmals die vSphere Cluster Services VMs (vCLS). Damit wurden Cluster Funktionen wie z.B. Distributed Resource Scheduler (DRS) und andere erstmals unabhängig von der Verfügbarkeit der vCenter Server Appliance (VCSA). Letztere stellt im Cluster immer noch einen Single-Point-of-Failure dar. Durch Auslagerung der DRS Funktion in die redundanten vCLS Maschinen wurde ein höheres Maß an Resilienz erreicht.

Retreat Mode

Der vSphere-Administrator hat nur wenig Einfluss auf die Bereitstellung dieser VMs. Gelegentlich ist es jedoch notwendig, diese VMs von einem Datastore zu entfernen wenn dieser beispielsweise in den Wartungsmodus versetzt werden soll. Dafür gibt es eine Prozedur, um den Cluster in den sogenannten Retreat-Mode zu setzen. Dabei werden temporäre erweiterte Einstellungen gesetzt, die zur Löschung der vCLS VMs durch den Cluster führen.

Laut Prozedur von VMware muss für die Aktivierung des Retreat Modes die Domain ID ermittelt werden. Die Domain ID ist der numerische Wert zwischen ‚domain-c‘ und dem folgenden Doppelpunkt. Im Beispiel aus meinem Labor ist es der Wert 8, aber die Zahl kann durchaus auch vierstellig sein.

Die Domain ID muss dann in den Advanced Settings des vCenters übergeben werden.

config.vcls.clusters.domain-c8.enabled = false

Admin Fehler beim Retreat Mode

Nach Aktivierung des Retreat-Modes auf einem vSAN-Cluster hatten Administratoren sämtliche Privilegien auf alle Objekte im vSphere-Client verloren.

Eine Überprüfung der Dienste zeigte, dass der vCenter Server Daemon (vpxd) nicht gestartet war.

28. Juni 202227. Juni 2022

Project Arctic – Die Vorteile der Cloud für lokale Workloads nutzen

In den letzten Jahren haben wir einen deutlichen Trend zur Einführung von Cloud-Strategien auf Kundenseite festgestellt. Einige setzen bereits auf eine Multi-Cloud-Strategie, um den größtmöglichen Nutzen aus verschiedenen Angeboten zu ziehen. Wir dürfen jedoch nicht vergessen, dass die Infrastruktur vor Ort – die so genannte private Cloud – immer noch die häufigste Art der virtuellen Infrastruktur ist. Das ist nicht verwunderlich, denn die Infrastruktur vor Ort hat zweifellos eine Reihe von Vorteilen. Das sind nicht nur Aspekte des Datenschutzes, der Datensicherheit und der Datensouveränität. Es sind auch Leistungsaspekte wie geringe Latenzen, die Kunden davon abhalten, spezielle Arbeitslasten in die (public) Cloud zu migrieren.

Andererseits haben Cloud-Angebote auch ein paar Vorteile. Dazu gehören die flexible Nutzung, die minimale Wartung, die eingebaute Ausfallsicherheit, die Agilität für Entwickler und die Möglichkeit, das System von überall aus zu verwalten.

Um die Lücke zwischen lokalen Anforderungen und Cloud-basierten Möglichkeiten zu schließen, hat VMware auf der VMworld 2021 das Projekt Arctic angekündigt. Vorteile der Cloud für lokale Workloads nutzbar machen.

Die Vorstellung von vSphere+ und vSAN+