paper - Enterprise Lab

VMware vCloud Manager im Enterprise Lab
Bachelor Diplomarbeit
Autor:
David Copparoni
Modul:
TA.BA_BAA+INF.F1201
TA.BA_BAA+INF.F1201
Horw, 15. Juni 2012
VMware vCloud Manager im Enterprise Lab
Autor
David Copparoni
Informatik SS
Sonnhaldenstrasse 12
6020 Emmenbrücke
Tel.: +41 79 756 95 16
Mail: [email protected]
Dozent
Experte
Roland Portmann
Hochschule Luzern – Technik & Architektur
Technikumstrasse 21
6048 Horw
Tel.: +41 41 349 33 83
Mail: [email protected]
Markus Pfyffer
IBM Global Services Zürich
Vulkanstrasse 106
8010 Zürich
Mail: [email protected]
Wirtschaftspartner
Bruno Joho
Hochschule Luzern – Technik & Architektur
Technikumstrasse 21
6048 Horw
Tel.: +41 41 349 34 76
Mail: [email protected]
Selbstständigkeitserklärung
Hiermit erkläre ich, dass ich die vorliegende Arbeit selbstständig angefertigt und keine anderen als
die angegebenen Hilfsmittel verwendet habe. Sämtliche verwendeten Textausschnitte, Zitate oder
Inhalte anderer Verfasser wurden ausdrücklich als solche gekennzeichnet.
Horw, 08.06.2012
David Copparoni
___________________
TA.BA_BAA+INF.F1201
Seite 2 / 5
VMware vCloud Manager im Enterprise Lab
Dokumentenverzeichnis
1.
2.
3.
4.
5.
6.
7.
Management Summary
Abstract
Konzept Edu Cluster
Kundenanforderungen
Betriebliche Aspekte
Projektmanagement Plan
Fazit
Anhang
8.
9.
10.
11.
12.
13.
Installationsanleitung
Administrationshandbuch
Fragenkatalog
Testplan
Testprotokoll
CD-ROM mit diversen Dateien
TA.BA_BAA+INF.F1201
Seite 3 / 5
VMware vCloud Manager im Enterprise Lab
Management Summary
Für den Abschluss des Studiengangs Bachelor in Informatik führt jeder Student eine Diplomarbeit
durch. Das Projekt ist als Teamarbeit gedacht, kann aber auch als Einzelarbeit durchgeführt werden.
Der zeitliche Umfang beträgt 360 Stunden pro Student. Dabei soll ein wissenschaftliches Vorgehen
angewendet werden.
Im Rahmen eines internen Projektes wurde das Enterprise Lab mit einer VMware Umgebung
erweitert. Damit ist es nun möglich komplexe Infrastrukturen aufzubauen. Gleichzeitig wurde aber
auch die Administration komplexer und der Aufwand für den Unterhalt erhöht. Gespräche mit der
Firma VMware liessen vermuten, dass mit dem Einsatz ihrer neuen Produkte der Administrationsaufwand gesenkt werden und gleichzeitig ein Mehrwert für Studierende geschaffen werden kann.
Um diese Ziele zu erreichen, wurden im Rahmen der Diplomarbeit die Produkte vCloud Director,
vShield Edge und vCenter Orchestrator der Firma VMware für einen möglichen Einsatz in der Lehre
evaluiert. Diese Produkte ermöglichen es, eine Private Cloud zu betreiben. Dazu wurde ein Edu
Cluster aufgebaut und direkt ins Enterprise Lab integriert. Um den Edu Cluster optimal an die
Bedürfnisse der Lehre anpassen zu können, stellte uns VMware einen Tag lang ein Expertenteam zur
Verfügung. Es wurden verschiedene Konfigurationsmöglichkeiten aufgezeigt und ein Architektur
Review durchgeführt.
Die Evaluation des Edu Clusters hat gezeigt, dass sich der administrative Aufwand nicht direkt
reduzieren lässt. Mit dem vCenter Orchestrator lassen sich zwar einfache tägliche Arbeiten
automatisieren, in der Lehre kann damit aber kein grosser Zeitgewinn erzielt werden. Grund dafür
ist, dass die meisten Arbeiten zu Semesterbeginn anfallen und während dem Semester keine grossen
Änderungen vorgenommen werden. Dafür bietet der vCloud Director eine flexible und übersichtliche
Privat Cloud Lösung, die einfach und intuitiv administriert werden kann. Dank diesen Eigenschaften
kann den Studenten ein Selfservice-Portal zur Verfügung gestellt werden, auf dem die Studierenden
frei über ihre Ressourcen verfügen können. Ein Selfservice-Portal für Studierende würde ein Studium
an der Hochschule für Technik und Architektur noch attraktiver machen. Der Edu Cluster kann aber
auch für Versuche in den verschiedenen Modulen eingesetzt werden. Dank den Firewall Funktionen,
die der Edu Cluster bietet, kann auch ein Teil der virtuellen Checkpoint-Firewall-Instanzen im
Enterprise Lab abgelöst werden.
Um den Edu Cluster zu installieren wird mit einem Zeitaufwand von einer Woche gerechnet. Die
Einarbeitungszeit für den vCloud Director und vCenter Orchestrator wird auf je einen Monat
geschätzt. Für das Selfservice-Portal muss zusätzliche Hardware beschaffen werden. Es werden
Server mit insgesamt 650GB RAM und je zwei 10Gbit Netzwerkanschlüsse benötigt. Weiter werden
3TB Datenspeicher benötigt. Zudem müssen einige Kompatibilitätsprobleme mit Mac und Linux
Betriebssystemen gelöst werden.
Der Edu Cluster ist klar auf das Cloud Computing ausgerichtet. Wenn damit nur der Administrationsaufwand gesenkt werden soll, ist der Edu Cluster nicht zu empfehlen. Für ein Selfservice-Portal
hingegen sind die Produkte von VMware die ideale Lösung.
TA.BA_BAA+INF.F1201
Seite 4 / 5
VMware vCloud Manager im Enterprise Lab
Abstract
The Enterprise Lab at the Lucerne University of Applied Science and Arts has changed in the past few
years. A new VMware environment has been added which allows creating complex network
infrastructures. This new environment has also increased the administration effort and the
complexity. For this reason the Enterprise Lab team wants to evaluate new VMware products to
simplify the maintenance of the Enterprise Lab and reduce costs. In addition the new VMware
products should have an additional benefit for the students.
During the diploma thesis the new VMware products have been evaluated to find out if these goals
can be achieved. The main products used for the evaluation are vCloud Director, vCenter
Orchestrator and vShield Edge. The vCloud Director delivers an on-demand infrastructure to the end
users. The vCenter Orchrestrator helps to automate existing manual tasks and vShiled Edge provides
network and security services. With these products a private cloud environment has been created.
This environment allows allocating resources to users. With these resources users can create their
own private environment with virtual Machines, Networks, Firewalls and Datacenters. The use of
resources can be limited by the administrator.
The results of the evaluation have shown that the new private cloud environment cannot reduce the
Enterprise Lab’s administration effort or complexity. Instead a self-service portal for students could
be created. Each student could get his own separate environment. Thus studies at the Lucerne
University of Applied Science and Arts would become more attractive to student.
TA.BA_BAA+INF.F1201
Seite 5 / 5
Konzept Edu Cluster
VMware vCloud Manager im Enterprise Lab
Autor:
David Copparoni
Modul:
TA.BA_BAA+INF.F1201
TA.BA_BAA+INF.F1201
Horw, 15. Juni 2012
Konzept Edu Cluster
Inhalt
1
Ziel und Zweck ............................................................................................................................ 4
2
Theorie ........................................................................................................................................ 5
2.1
2.1.1
Technische Evolution .................................................................................................. 6
2.1.2
Definition .................................................................................................................... 7
2.1.3
Risiken ......................................................................................................................... 8
2.1.4
Möglichkeiten ............................................................................................................. 8
2.2
3
4
Cloud Computing ................................................................................................................ 5
VMware .............................................................................................................................. 9
2.2.1
vSphere ....................................................................................................................... 9
2.2.2
vCloud Director ......................................................................................................... 11
2.2.3
vShield....................................................................................................................... 13
2.2.4
vCenter Orchestrator ................................................................................................ 16
Edu Cluster ................................................................................................................................ 17
3.1
Aufbau .............................................................................................................................. 17
3.2
Software............................................................................................................................ 18
3.3
VLAN Konzept ................................................................................................................... 19
3.4
IP- und Namenskonzept.................................................................................................... 19
3.5
Netzwerk ........................................................................................................................... 21
3.6
Backup .............................................................................................................................. 22
3.7
Benutzerverwaltung ......................................................................................................... 22
3.8
vCloud Director ................................................................................................................. 23
3.8.1
Grundlagen ............................................................................................................... 23
3.8.2
Unterstützte Browser ............................................................................................... 24
3.8.3
Unterstütze Guest-Betriebssysteme......................................................................... 26
Verzeichnisse ............................................................................................................................ 27
4.1
Abbildungsverzeichnis ...................................................................................................... 27
4.2
Tabellenverzeichnis .......................................................................................................... 27
4.3
Quellenverzeichnis............................................................................................................ 27
TA.BA_BAA+INF.F1201
Seite 2 / 28
Konzept Edu Cluster
Versionen
Version
1.0
1.1
1.2
1.3
1.4
1.5
Datum
24.02.2012
05.03.2012
08.03.2012
12.03.2012
07.05.2012
07.06.2012
Autor
David Copparoni
David Copparoni
David Copparoni
David Copparoni
David Copparoni
David Copparoni
Bemerkungen
Dokument erstellt
Theorieteil Cloud Computing erstellt
Theorieteil VMware erstellt
Edu Cluster Konzept erstellt
Edu Cluster Konzept ergänzt
Abschluss
Referenzen
Dokument
Aufgabenstellung
Bachelor-Diplomarbeit
Fragenkatalog
Betriebskonzept
Enterprise Lab Plus
TA.BA_BAA+INF.F1201
Version
Datum
25.01.2012
Autor(en)
Roland Portmann
1.2
1.0
07.06.2012
15.06.2011
David Copparoni
Roland Portmann,
Bruno Joho
Bemerkungen
Anforderungen des
Kunden
Backup Konzept
Seite 3 / 28
Konzept Edu Cluster
1 Ziel und Zweck
In diesem Dokument werden zuerst die wichtigsten Begriffe aus dem Bereich des Cloud
Computing erläutert. Auch die Risiken und Möglichkeiten werden angesprochen. Des Weiteren
werden alle VMware Produkte vorgestellt, die für die Installation des Edu Clusters benötigt
werden. Die Beschreibung der Produkte wurde aus den VMware Produktdokumentationen
entnommen und für die Zwecke dieser Diplomarbeit angepasst. Zum Schluss wird das Edu Cluster
Konzept vorgestellt. Im Konzept wird der Grundaufbau des Edu Clusters aufgezeigt und wie er in
das Netzwerk des Enterprise Lab integriert werden soll. Auch die Grundlagen des vCloud Directors
werden beschreiben. Das Konzept dient als Grundlage für die Installation und Konfiguration des
Edu Clusters.
TA.BA_BAA+INF.F1201
Seite 4 / 28
Konzept Edu Cluster
2 Theorie
2.1 Cloud Computing
Unter Cloud Computing wird im Allgemeinen das Auslagern von Daten, Software und
Programmierumgebungen ins Internet, in die metaphorische «Datenwolke» verstanden.
Vereinfacht kann das Konzept wie folgt beschrieben werden: Ein Teil der IT-Landschaft wird auf
Nutzerseite nicht mehr selbst betrieben oder örtlich bereitgestellt, sondern bei einem oder
mehreren Anbietern gemietet. Es kann zum Beispiel ein Rechenzentrum, Datenspeicher oder
Software ausgelagert werden. Die Anwendungen und Daten befinden sich dann nicht mehr auf
dem lokalen Rechner oder im Firmenrechenzentrum, sondern in der Wolke (engl. cloud). Mit
anderen Worten, statt dass die Anwender Software und Hardware selber kaufen, mieten sie
entsprechende Angebote im Web.
Abbildung 1: Cloud Computing
TA.BA_BAA+INF.F1201
Seite 5 / 28
Konzept Edu Cluster
2.1.1
Technische Evolution
Cloud Computing ist das Resultat verschiedener technischer Entwicklungen und beruht auf einer
Kette von Vorläufertechnologien:
Client-Server Modell
Bereits in den 1950er-Jahren wurde in der Informatik mit der Entwicklung von
Netzwerkstrukturen begonnen, die darauf beruhten, auf dem Server Dienste anzubieten, die vom
Client abgefragt werden können. Die Arbeitsteilung zwischen Server und Client wurde mit dem
Konzept des «Thin Clients» noch weiter getrieben. Das Endgerät reduzierte sich auf das
Grundlegendste und wurde nur noch für die Dateneingabe verwendet, während die Verarbeitung
auf einer zentralen Recheneinheit erfolgte. Damit stiegen die Ansprüche und Anforderungen an
die Server und ihre Leistungsfähigkeit.
Clustering
Für Firmen ist ein fester Bestand an Hochleistungsrechnern mit Nachteilen verbunden. Abgesehen
von den Kosten für Anschaffung und Unterhalt, ist auch die Anpassungsfähigkeit beschränkt, um
auf Schwankungen in der Nachfrage zu reagieren. Zunehmend setzte sich daher die Arbeit in so
genannten Clusters durch. Die Rechner werden über ein schnelles Netzwerk miteinander
verbunden, so dass Kapazitäten an dem Ort dort eingesetzt werden können, wo der Bedarf nach
Leistung höher ist.
Virtualisierung
Mit der Nachfrage nach dynamischer Kapazitätenverteilung, stieg auch die Nachfrage nach
flexiblen Konfigurationsmöglichkeiten. Die Anwender wollten nicht mehr für jede Anwendung
einen eigenen physikalischen Rechner bedienen. Mit der Einführung der Virtualisierung wurde
dem Benutzer eine Abstraktionsschicht zur Verfügung gestellt, die ihn von der Rechenleistung und
dem Speicherplatz seines Rechners isoliert. Dadurch ist es möglich, ein Betriebssystem oder eine
Anwendung zu simulieren. Mit Hilfe der Virtualisierung können mehrere Virtuelle Server
gleichzeitig auf einem physikalischen Rechner laufen und die Ressourcen dynamisch zugeteilt
werden. Durch die Virtualisierung kann dem Anwender auch vorgespiegelt werden, er bewege
sich allein in einer Umgebung, die er in Wirklichkeit mit vielen anderen Anwendern teilt.
Konvergenz
Ein weiterer Treiber für das Rechnen in der Wolke stellt die Konvergenz der Endgeräte dar.
Während es früher für unterschiedliche Tätigkeiten wie Telefonieren, Schreiben oder Musikhören
verschiedene Endgeräte brauchte, sind die heutigen elektronischen Gadgets vielseitige
Alleskönner. Damit diese verschiedenen Anwendungen auf unterschiedlichen Plattformen
funktionieren, braucht es einheitliche Standards, die den Austausch verschiedenartiger Daten
ermöglichen. Dem grossen Druck zur Konvergenz wollen sich die meisten Anbieter und Hersteller
nicht entziehen, denn sie ermöglicht neue Wertschöpfungsketten.
In Cloud Computing konvergieren die beschriebenen Trends. Es handelt sich um miteinander
verbundene Rechencluster, die dank Virtualisierung einheitliche und einfach zu bedienende ITInfrastrukturen zur Verfügung stellen. Sie ermöglichen es, von einem Endgerät aus Dienste von
unterschiedlichsten Anbietern zu beziehen und eigene Daten auszulagern.
TA.BA_BAA+INF.F1201
Seite 6 / 28
Konzept Edu Cluster
2.1.2
Definition
Was sich hinter dem Ausdruck «Cloud Computing» genau verbirgt, ist allerdings recht nebulös. Die
Definitionen sind nicht trennscharf, und auch die Fachleute sind sich darin einig, dass alle sich
unter Cloud Computing etwas anderes vorstellen. Deshalb veröffentlichte das National Institute
for Standards and Technology (NIST) im Jahre 2009 eine Definition, die auf weitgehende
Akzeptanz stiess und verschiedene Definitionsansätze bündelt:
Cloud Computing als Servicemodell
IaaS – Infrastructure as a Service bietet den Nutzungszugang von virtualisierten
Computerhardware Ressourcen, wie Rechnern, Netzwerken und Speicher. Die Benutzer sind
daher für die Auswahl, die Installation, den Betrieb und das Funktionieren ihrer Software selbst
verantwortlich.
PaaS – Platform as a Service bietet den Nutzungszugang von Programmierungs- oder
Laufzeitumgebungen mit anpassbaren Rechen- und Datenkapazitäten. Im Unterschied zu IaaS hat
der Benutzer hier keinen direkten Zugriff auf die Recheninstanzen. Im PaaS-Szenario bringt er
ausschließlich seine Programmlogik in die Cloud ein.
SaaS – Software as a Service bietet den Nutzungszugang von Software-Sammlungen und
Anwendungsprogrammen. Hierbei bringt der Benutzer seine Applikation weder in die Cloud ein,
noch muss er sich um Skalierbarkeit oder Datenhaltung kümmern. Er nutzt eine bestehende
Applikation, die ihm vom SaaS Dienstanbieter nach aussen hin angeboten wird.
Cloud Computing als Liefermodell
Public Cloud – die öffentliche Rechnerwolke bietet Zugang zu abstrahierten IT-Infrastrukturen für
die breite Öffentlichkeit über das Internet.
Private Cloud – die private Rechnerwolke bietet Zugang zu abstrahierten IT-Infrastrukturen
innerhalb der eigenen Organisation.
Hybrid Cloud – die hybride Rechnerwolke bietet kombinierten Zugang zu abstrahierter ITInfrastrukturen aus den Bereichen von Public Clouds und Private Clouds, je nach den Bedürfnissen
ihrer Nutzer. (z.B Universitäten)
Community Cloud – die gemeinschaftliche Rechnerwolke bietet Zugang zu abstrahierten ITInfrastrukturen wie bei der Public Cloud. Jedoch für einen kleineren Nutzerkreis, der sich, meist
örtlich verteilt, die Kosten teilt.
TA.BA_BAA+INF.F1201
Seite 7 / 28
Konzept Edu Cluster
2.1.3
Risiken
Die Frage nach den Risiken stellt sich deshalb, weil Cloud Computing auf Internet aufbaut, das für
maximale Kommunikationsfähigkeit, aber nicht auf höchste Sicherheit oder Verfügbarkeit
ausgelegt ist. Durch Cloud Computing entstehen zudem neuen Abhängigkeiten, die nicht zu
unterschätzen sind.
Treten bei einem grossen Anbieter technische Schwierigkeiten auf, zieht er auch alle Kunden mit
ins Ungemach, die ihre IT-Infrastrukturen auf seine Plattformen ausgelagert haben. Auch die
Herstellerabhängigkeit, der so genannte Vendor Lock-In muss beachtet werden. Weil es derzeit
noch zu wenige Standards für die Interoperabilität zwischen Angeboten gibt, kann ein Kunde nicht
ohne weiteres vom einen Anbieter zum nächsten wechseln. Der Wechsel ist oft mit grossem
Aufwand und hohen Kosten verbunden. Dazu kommt noch, dass durch die schwindenden
Systemgrenzen, die Verantwortungen zwischen voneinander abhängigen Services innerhalb eines
Wertschöpfungsnetzes nicht klar geregelt sind.
Im Bereich der Sicherheit gibt unterschiedliche Ansichten was die Risiken betrifft. Fakt ist, dass die
Sicherheitskontrolle nach aussen, in die Wolke delegiert wird. Für grössere Firmen kann dies ein
grosses Risiko bedeuten. Für KMUs hingegen kann sich die Sicherheit sogar erhöhen, weil diese
sonst oft zu wenig in Firewalls und andere Schutzmassnahmen investieren. Letztlich bleibt es aber
eine Frage des Vertrauens in die beteiligten Provider.
Eine Aussage vom Zentrum für Technologiefolgen-Abschätzung bringt das Ganze auf einen Punkt:
„Alles in Allem erachten verschiedene Fachleute in der Diskussion den Umgang und die Probleme
mit Cloud Computing als typisch für Erscheinungen im Informatik-Bereich:
Es werden neue Konzepte, Anwendungen und Modelle verkauft, noch bevor alle Probleme erkannt,
geschweige denn gelöst sind.“
(TA-SWISS, Cloud Computing, 2012, S. 08)
2.1.4
Möglichkeiten
Dank der offenen Schnittstellen schafft Cloud Computing die Bedingungen für derzeit noch
ungeahnte Möglichkeiten neuer Geschäftsmodelle. Die Wolke ist Insbesondere für Privatpersonen
oder Kleinunternehmen attraktiv, die sich scheuen, ihre IT-Infrastruktur selber zu unterhalten. Je
schneller sich die Technologie entwickelt und je öfter die Software aktualisiert werden muss,
desto grösser werden die Vorteile eines Cloud-Systems. Besonders die kleineren Firmen können
von Cloud Computing profitieren, indem auch sie die Skalierbarkeit der Informatik besser
ausnutzen können. Aus diesem Blickwinkel könnte Cloud Computing sogar dazu beitragen, ITLösungen gesamthaft effizienter und ökologischer zu machen, indem ineffiziente Kleinanlagen
überflüssig werden (Stichwort «Green IT»). Die Fachleute sind sich einig, dass sich die Frage, ob
Cloud Computing sich durchsetzt, gar nicht stellt, denn Cloud Computing gibt es bereits und wird
praktiziert.
TA.BA_BAA+INF.F1201
Seite 8 / 28
Konzept Edu Cluster
2.2 VMware
VMware, Inc. ist ein US-amerikanisches Unternehmen das 1988 gegründet wurde. Es ist weltweit
der führende Anbieter im Bereich der Virtualisierungs und Cloud-Infrastrukturen. Die Lösungen
werden von mehr als 190‘000 Kunden eingesetzt. Mit den Lösungen von VMware kann die
Komplexität der IT reduziert und auf ein IT-as-a-Service-Modell umgestiegen werden. Mit dem
Portfolio von Cloud-Infrastruktur und Managementlösungen, kann eine Cloud Computing
Architektur implementiert, verwaltet und gesichert werden. Es werden sowohl private als auch
öffentliche Clouds unterstützt.
2.2.1
vSphere
VMware vSphere enthält Komponenten und Vorgänge für das Verwalten virtueller Maschinen.
vSphere ermöglicht es, die Objekte der virtuellen Umgebung als verwaltete Komponenten zu
betrachten. Dies können zum Beispiel virtuelle Maschinen, Hosts und Ressourcenpools sein. Die
Funktionskomponenten von vSphere bieten die Möglichkeit zum Verwalten dieser Komponenten
in der virtuellen Umgebung. Zudem werden vApps unterstützt. Eine vApp ist ein Container, der
eine oder mehrere virtuelle Maschinen enthalten kann. vApps können einzelne virtuelle
Maschinen oder komplexe multitier business Applikation darstellen. Templates können von einer
vApp erstellt und einfach geklont und verteilt werden.
Abbildung 2: VMware vSphere
TA.BA_BAA+INF.F1201
Seite 9 / 28
Konzept Edu Cluster
Zum Ausführen der vSphere-Umgebung werden folgenden Komponenten benötigt:
ESX/ESXi
Eine Virtualisierungsplattform, die zum Erstellen virtueller Maschinen verwendet wird. Eine
virtuelle Maschinen ist eine Gruppe von Konfigurations- und Festplattendateien, die zusammen
alle Funktionen einer physischen Maschine Ausführen. Über ESX/ESXi können diese virtuellen
Maschinen konfiguriert und ausgeführt werden. Auf den virtuellen Maschinen können
Betriebssysteme und Anwendungen installiert werden.
vCenter Server
vCenter Server ist ein Dienst, der als zentraler Administrator für VMware ESX/ESXi-Hosts dient, die
über ein Netzwerk verbunden sind. Er lenkt die Aktionen auf den virtuellen Maschinen und den
Hosts der virtuellen Maschinen (den ESX/ESXi-Hosts). vCenter Server ist ein Windowsdienst, der
permanent im Hintergrund ausgeführt wird.
vCenter Server Datenbank
Die vCenter Server Datenbank ist ein dauerhafter Speicherbereich zum Verwalten des Status der
vCenter Server Umgebung. Der Zustand aller virtuellen Maschinen, Hosts und Benutzer, wird in
dieser der Datenbank verwaltet.
vSphere Client
vSphere Client ist die primäre Benutzeroberfläche für das Erstellen, Verwalten und Überwachen
von virtuellen Maschinen und deren Ressourcen und Hosts.
TA.BA_BAA+INF.F1201
Seite 10 / 28
Konzept Edu Cluster
2.2.2
vCloud Director
Der VMware vCloud Director ermöglicht durch die Erstellung von Pools aus
Infrastrukturressourcen in virtuellen Rechenzentren, den Aufbau sicherer Hybrid-Clouds mit
mehreren Mandanten. Die Ressourcen können von den Benutzern nach Bedarf verwendet
werden. Im vCloud Director werden Rechenzentrumsressourcen (Computing-, Storage- und
Netzwerkressourcen) sowie die zugehörigen Richtlinien in virtuellen Rechenzentren
zusammengefasst.
Durch die Erstellung von Hybrid-Clouds mit vSphere und VMware vCloud Director werden ITOrganisationen zu Serviceanbietern für die von ihnen betreuten Unternehmen. Auf diese Weise
kann die Agilität und Effizienz der Unternehmen gesteigert werden.
Abbildung 3: vCloud Director
TA.BA_BAA+INF.F1201
Seite 11 / 28
Konzept Edu Cluster
Die Hauptmerkmale von VMware vCloud Director sind:
Virtuelle Rechenzentren
Virtuelle Rechenzentren sind logische Konstrukte, die Computing-, Storage- und
Netzwerkkapazitäten mit der entsprechenden Richtlinie umfassen. Eine vollständige
Abstrahierung zwischen der Bereitstellung von Infrastrukturservices und den zugrunde liegenden
Ressourcen wird somit ermöglicht.
Sicherheit
Die integrierten vShield Edge-Technologien bieten Virtualisierungsorientierte Sicherheit wie
Perimeterschutz, Firewall auf Portebene, sowie NAT- und DHCP-Dienste. Diese vereinfachen die
Anwendungsbereitstellung und setzen Beschränkungen, um Compliance-Standards gerecht zu
werden. Durch ein Upgrade auf die vShield Edge-Lösung kommen erweiterte Dienste wie etwa
Site-to-Site-VPN, Netzwerkisolierung und Internet- Lastausgleich hinzu. Weitere Informationen
zum Thema Sicherheit sind in Kapitel 2.2.3 zu finden.
Schnelles Provisioning
Durch die VMware Linked Clones-Technologie wird das Klonen von Basis-vApps in untergeordnete
vApps beschleunigt. Dies weil nur die Änderungen in den untergeordneten Elementen gespeichert
und alle sonstigen Daten aus der Basis-vApp übernommen werden. Auf diese Weise kann StorageKapazität gespart werden. Somit profitieren die Anwender von einer beschleunigten
Bereitstellung.
vApp-Katalog
Der vApp-Katalog ermöglicht es, vorab konfigurierte Infrastruktur- und Anwendungsservices mit
einem Mausklick aus dem zentralen Katalog bereitzustellen und zu nutzen. In einem Katalog
können virtuelle Appliances, virtuelle Maschinen und Betriebssystem-Images bereitgestellt
werden. So können Angebote standardisiert und die Fehlerbehebung, das Patching und das
Änderungsmanagement vereinfacht werden.
Organisationen
Anwender können, mit entsprechenden Richtlinien, in Organisationen gruppiert werden. Diese
Richtlinien können einem Entwicklungsteam, einer Geschäftseinheit oder anderen Gruppen mit
ähnlichem Nutzungsverhalten entsprechen. Jeder Organisation können isolierte virtuelle
Ressourcen, eine unabhängige LDAP-Authentifizierung, spezifische Richtlinienkontrollen und
vApp-Kataloge zugeordnet werden. Dank diesen Merkmalen kann eine sichere mandantenfähige
Architektur aufgebaut werden, die eine kontrollierte gemeinsame Nutzung der Infrastruktur
ermöglicht.
Self-Service-Portal
Anwender haben über ein Webportal direkten Zugriff auf ihre Kataloge und virtuellen
Rechenzentren.
TA.BA_BAA+INF.F1201
Seite 12 / 28
Konzept Edu Cluster
2.2.3
vShield
vShield ermöglicht die Absicherung virtueller Rechenzentren und Cloud Umgebungen auf allen
Ebenen. Dazu gehören Hosts, Netzwerke, Anwendungen, Daten und Endpunkte. vShield bietet
umfassende Funktionen zur Selbstprüfung und zum Schutz von Hosts und virtuellen Maschinen.
Diese Funktionen stellen sicher, dass Anwendungen und Daten in VMware basierten Clouds
geschützt sind.
vShield App
Bei vShield App handelt es sich um eine virtualisierte, anwendungsorientierte Firewall-Lösung für
virtuelle Rechenzentren. vShield sorgt für den Schutz vor internen netzwerkbasierten
Bedrohungen und für die Reduzierung des Risikos von Richtlinienverletzungen innerhalb der
firmeninternen Sicherheitsebenen. Hierfür kommen anwendungsorientierte Firewalls mit Deep
Packet Inspection zum Einsatz. Deep Packet Insprection steht für ein Verfahren, bei dem
gleichzeitig der Datenteil und der Headerteil des Datenpaketes auf bestimmte Merkmale wie z.B
Computerviren überprüft werden. Mithilfe von vShield App können Anwendungen
unterschiedlicher Vertraulichkeitsstufen (Zonen) im selben virtuellen Rechenzentrum ausgeführt
werden.
Abbildung 4: vShield App
TA.BA_BAA+INF.F1201
Seite 13 / 28
Konzept Edu Cluster
vShield Edge
Bei vShield Edge handelt es sich um eine Sicherheitslösung für den Netzwerkrand virtueller
Rechenzentren. Es bietet unabdingbare Sicherheitsfunktionen, wie Netzwerksicherheits-GatewayDienste und Internet-Lastausgleich. In Verbindung mit dem VMware vCloud Director,
automatisiert vShield Edge das sichere Provisioning von virtuellen Rechenzentren in Cloud
Infrastrukturen. Durch die Aufteilung der Aufgaben, kann der Zugriff auf autorisierte Mitarbeiter
begrenzt werden.
Abbildung 5: vShield Edge
Hauptmerkmale:
•
Firewall mit Stateful Inspection
•
Übersetzung der IP-Adressen von und in die virtualisierte Umgebung
•
Maskierung der IP-Adressen virtueller Rechenzentren gegenüber nicht
vertrauenswürdigen Standorten
•
Automatisches Provisioning von IP-Adressen auf virtuellen Maschinen in vSphere
Umgebungen (DHCP)
•
Sichere Kommunikation zwischen virtuellen Rechenzentren (Site-to-Site VPN)
•
Ausgleich der eingehenden Datenlast für den gesamten Datenverkehr inklusive Internet
Datenverkehr
•
Messung der Ressourcenauslastung im virtuellen Rechenzentrum und Zuordnung zum
jeweiligen Mandanten
TA.BA_BAA+INF.F1201
Seite 14 / 28
Konzept Edu Cluster
vShield Endpoint
Mit dieser Lösung werden Antiviren-Programme und andere Tools für die Endpunktsicherheit in
VMware Umgebungen optimiert. vShield Endpoint trägt zu einer Performanceverbesserung bei,
indem die Virenscanner-Aktivitäten von den einzelnen virtuellen Maschinen auf eine sichere
virtuelle Appliance mit eigener Scanning-Engine übertragen werden. Bei dieser Architektur wird
für die Antiviren-und Anti-Malware-Funktionen auf den virtuellen Gastmaschinen, kein
Speicherplatz durch Softwareagenten belegt. Dadurch werden Systemressourcen freigegeben und
das Risiko von überlasteten Ressourcen bei geplanten Scans und Signatur-Updates ausgeschaltet.
Abbildung 6: vShield Endpoint
vShield Manager
Der VMware vShield Manager ist die Managementschnittstelle und ist in allen vShield-Produkten
enthalten. Er bietet eine rollenbasierte Zugriffssteuerung und die Möglichkeit, administrative
Zuständigkeiten zu delegieren.
Abbildung 7: vShield Manager
TA.BA_BAA+INF.F1201
Seite 15 / 28
Konzept Edu Cluster
2.2.4
vCenter Orchestrator
Der VMware vCenter Orchestrator bietet direkt nutzbare Workflows, mit denen Administratoren
vorhandene manuelle Aufgaben automatisieren können. Der Orchestrator ermöglicht Anwendern
die Erstellung einfacher und komplexer Workflows, indem die verschiedenen WorkflowKomponenten per Drag-and-Drop zusammengestellt werden können. Die für Systemadministratoren bestimmte Workflow-Bibliothek von Orchestrator, enthält über 800 mögliche
Aufgaben für häufig ausgeführte Aktionen. Mit dem Snapshot-Workflow können Administratoren
beispielsweise einen Snapshot für eine große Anzahl virtueller Maschinen in einem bestimmten
Ressourcenpool erstellen. Es können aber auch virtuelle Maschinen erstellt, gestartet oder
geklont werden.
Abbildung 8: vCenter Orchestrator
TA.BA_BAA+INF.F1201
Seite 16 / 28
Konzept Edu Cluster
3 Edu Cluster
3.1 Aufbau
Der Edu Cluster ist die Bezeichnung für den Zusammenschluss vom Management und Resource
Cluster. Ein Cluster besteht jeweils aus einem oder mehreren ESXi Servern. Im Edu Cluster werden
insgesamt fünf solcher Server eingesetzt. Ein Server bildet den Management Cluster und die
anderen vier den Resource Cluster. Auf dem Management Cluster sind alle Produkte installiert, die
für die Administration des Edu Clusters und für die Bereitstellung der Ressourcen zuständig sind.
Der Resource Cluster stellt die Hardwareressourcen für die Studenten (Kunden) zur Verfügung.
vCloud Director
vCenter Orchestrator
Datenbank
Abbildung 9: Aufbau Edu Cluster
Die klare Trennung zwischen Management und Resource Cluster wird aus 3 Gründen gemacht:
•
•
•
Übersicht
Sicherheit
Ressourcenverwaltung
TA.BA_BAA+INF.F1201
Seite 17 / 28
Konzept Edu Cluster
Dank der Aufteilung ist jederzeit ersichtlich, welcher Bereich den Studenten zur Verfügung steht
und wo nur der Administrator Zugriff hat. Auch die Sicherheit ist ein wichtiger Aspekt. Dank der
Trennung können Studenten nur auf die für sie bereitgestellten Ressourcen zugreifen. Alle
anderen Server und Dienste sind für die Studenten nicht erreichbar. Zudem wird die Verwaltung
der Ressourcen (CPU, RAM, …) erleichtert. Auf dem Resource Cluster können alle Ressourcen für
die Studenten verwendet werden und auf dem Management Cluster alle für die InfrastrukturProdukte.
Für den Edu Cluster werden noch weitere Dienste benötigt, die sich aber nicht innerhalb des Edu
Clusters befinden. Die Namensauflösung und die Verwaltung der Mandanten werden von
Diensten im Enterprise Lab übernommen. Auch der Datenspeicher befindet sich nicht auf den ESXi
Servern und wird vom Enterprise Lab zur Verfügung gestellt.
3.2 Software
Damit die Datenbank und die VMware Produkte installiert werde können, muss ein
entsprechendes Betriebssystem vorhanden und installiert sein. Die Betriebssysteme werden in
einer virtuellen Maschine (VM) auf dem Management Cluster installiert. Eine Ausnahme ist der
ESXi Server. Dieser kann direkt auf einem physischen Server installiert werden.
Für den Aufbau des Edu Clusters wird folgende Software benötigt:
Produkt
Betriebssystem
VMware ESXi Server
VMware vCenter Server
VMware vCloud Director
VMware vShield Manager
VMware vCenter Orchestrator
Microsoft SQL Server
Windows Server
RedHat Server
Linux
Windows Server
Windows Server
Tabelle 1: Software Edu Cluster
TA.BA_BAA+INF.F1201
Seite 18 / 28
Konzept Edu Cluster
3.3 VLAN Konzept
Für den Management und Resource Cluster werden zwei VLANs benötig. Auch für vMotion wird
ein VLAN benötigt. Mit Hilfe von vMotion kann eine virtuelle Maschine in Echtzeit von einem
physischen Server zu einem anderen verschoben werden, ohne dass es einen Ausfall gibt. Um auf
dem vCloud Director verschiedenen Netzwerke erstellen zu können, werden mehrere VLANs
benötigt. Für den vCloud Director wurden 63 VLANs reserviert.
VLAN ID
Bemerkung
1010
2000
2064
2065 - 2127
vMotion
Management Cluster
Resource Cluster
vCloud Director
Tabelle 2: VLAN Edu Cluster
3.4 IP- und Namenskonzept
Für den Management und Resource Cluster wird jeweils ein VLAN benötigt. Die beiden VLANs
werden geroutet und durch eine Firewall geschützt. Im Management VLAN sind alle Produkte
welche für die Administration des Edu Clusters und für die Bereitstellung der Ressourcen
zuständig sind. Im Resource VLAN befindet sich lediglich der vCloud Director. Über die IP Adresse
des vCloud Directors können die Studenten auf die bereitgestellten Ressourcen zugreifen. Der
vCloud Director besitzt zwei IP Adressen. Eine ist für den Ressourcenzugriff, die andere für eine
spezielle Proxy Verbindung. Diese Verbindung wird in Netzwerken mit mehreren vCloud
Directoren verwendet und wird deshalb im Edu Cluster nicht gebraucht. Der vCenter Server für
den Management Cluster und der vCenter Orchestrator haben die gleiche IP Adresse, weil sie sich
auf dem gleichen Server befinden. Alle ESXi Server befinden sich im Management VLAN, obwohl
vier davon dem Resource Cluster zugewiesen sind. Damit kann eine höhere Sicherheit
gewährleistet werden.
Die Namesauflösung wird vom DNS Server im Enterprise Lab durchgeführt. Weil der Datenbank
und die beiden vCenter Server ins Active Directory integriert werden, wird der DNS Eintrag für
diese Server automatisch erstellt. Für alle anderen Server muss der DNS Eintrag manuell erstellt
werden. Der DNS Suffix für die ESXi Server ist mngt.vm.el.campus.intern. Für die restlichen Server
lautet er vm.el.campus.intern.
TA.BA_BAA+INF.F1201
Seite 19 / 28
Konzept Edu Cluster
Domain: vm.el.campus intern
Tabelle 3: Domain Edu Claster
VLAN 2000 (Management)
IP Adresse
FQDN
Produkt
Bemerkung
10.29.0.6
s0006.mngt.vm.el.campus.intern
ESXi Server
für Resource Cluster
10.29.0.7
s0007.mngt.vm.el.campus.intern
ESXi Server
für Resource Cluster
10.29.0.8
s0008.mngt.vm.el.campus.intern
ESXi Server
für Resource Cluster
10.29.0.9
s0009.mngt.vm.el.campus.intern
ESXi Server
für Resource Cluster
10.29.0.10
s0010.mngt.vm.el.campus.intern
ESXi Server
für Management Cluster
10.29.0.246 vsm01.vm.el.campus.intern
vShield Manager
10.29.0.247 vdb01.vm.el.campus.intern
Datenbank Server
10.29.0.248 vcs02.vm.el.campus.intern
vCenter Server
für Resource Cluster
10.29.0.249 vcs01.vm.el.campus.intern
vCenter Server
für Management Cluster
10.29.0.249 vco01.vm.el.campus.intern
vCenter Orchestrator
Tabelle 4: VLAN Management Cluster
VLAN 2064 (Resource)
IP Adresse
FQDN
Produkt
10.29.64.2
vcd01.vm.el.campus.intern
vCloud Director
10.29.64.3
-
vCloud Director
Bemerkung
Proxy
Tabelle 5: VLAN Resource Cluster
TA.BA_BAA+INF.F1201
Seite 20 / 28
Konzept Edu Cluster
3.5 Netzwerk
Abbildung 10: Netzwerk Edu Cluster
Jeder ESXi Server verfügt über einen virtuellen Switch. Auf diesem Switch können verschiedene
VLANs konfiguriert und die Anzahl Ports bestimmt werden. Auf diese Weise können die virtuellen
Maschinen in das entsprechende VLAN gestellt werden. Auf den ESXi Servern vom Resource
Cluster kommt ein vSphere Distributed Switch (vDS) zum Einsatz. Im Unterschied zum normalen
virtuellen Switch können am vDS mehrere ESXi Server angeschlossen werden. Dies verringert vor
allem den Administrationsaufwand, weil es einen gemeinsamen Switch für alle ESXi Server gibt.
TA.BA_BAA+INF.F1201
Seite 21 / 28
Konzept Edu Cluster
Das Routing zwischen den einzelnen VLANs wird vom Extreme Networks Switch (Layer 3)
übernommen. Um den Zugriff zu schützen wird eine Firewall eingesetzt. Beide
Netzwerkkomponenten, wie auch der Fibre Channel Switch sind Bestandteil vom Enterprise Lab.
Über den Fibre Channel Switch kann auf den Datastore zugegriffen werden. Die Namensauflösung
und Benutzerauthentisierung werden vom DNS und Active Directory Server vorgenommen.
3.6 Backup
Für ein vollständiges Backup müssen alle virtuellen Maschinen und die Datenbanken vom
Datenbank Server gesichert werden. In den Datenbanken befinden sich alle
Konfigurationsinformationen der VMware Produkte. Folgende VMware Produkte speichern ihre
Konfiguration auf dem Datenbank Server:
•
•
•
vCenster Server
vCenter Orchestrator
vCloud Director
Weil der vShield Manager durch den vCloud Director verwaltet wird, werden die Konfigurationen
vom vShield Manager in der vCloud Director Datenbank gespeichert.
Die virtuellen Maschinen werden gemäss dem Betriebskonzept vom Enterprise Lab gesichert. Die
Datenbanken werden täglich gesichert. Damit seit dem letzten Backup keine Transaktionen
verloren gehen, muss das Transaktionslog eingeschaltet werden.
3.7 Benutzerverwaltung
Alle VMware Produkte unterstützen die Benutzerverwaltung über das Active Directory. Deshalb
wird der Active Directory Server vom Enterprise Lab für das Verwalten der Benutzer verwendet.
Darauf sind alle Accounts der Studenten und Dozierenden vorhanden. Zudem wird auf jedem
Server ein lokaler Account eingerichtet, falls der Active Directory Server nicht zur Verfügung steht.
TA.BA_BAA+INF.F1201
Seite 22 / 28
Konzept Edu Cluster
3.8 vCloud Director
3.8.1
Grundlagen
Über den vCloud Director kann den Studierenden Ressourcen zur Verfügung gestellt werden.
Dabei kann genau definiert werde wie viele Ressourcen die Studenten benützen dürfen und
welche Berechtigungen sie darauf haben. Die Ressourcen und Berechtigungen können auf
verschiedenen Hierarchiestufen vergeben werden. Die Organisation stellt die oberste HierarchieStufe dar. In einer Organisation können ein oder mehrere virtuelle Datencenter erstellt werden.
Innerhalb eines Datencenters könne verschiedene virtuelle Applikationen mit jeweils mehreren
virtuellen Maschinen erstellt werden. Berechtigungen können auf jeder dieser Stufen vergeben
werden.
Abbildung 11: Hierarchiestufen vCloud Director
Damit die verschiedenen Virtuellen Maschinen miteinander kommunizieren können, wird ein
Netzwerk benötigt. Auch im Netzwerkbereich gibt es verschiedene Hierarchiestufen. Die oberste
Stufe stellt das Externe Netzwerk dar. Dieses Netzwerk ist meistens für den Zugriff auf das
Internet zuständig. Es können auch Netzwerke für Organisationen und virtuelle Applikationen
erstellt werden. Für virtuelle Datencenter können jedoch keine Netzwerke erstellt werden. Dem
Organisations- und vApp Netzwerk kann jeweils ein vShield Edge Device zugewiesen werden. Ein
vShield Edge Device ist ein Router auf dem DHCP und NAT konfiguriert und eine Firewall aktiviert
werden kann. Auch hier können Berechtigungen auf den unterschiedlichen Netzwerkstufen
vergeben werden.
TA.BA_BAA+INF.F1201
Seite 23 / 28
Konzept Edu Cluster
Abbildung 12: Netzwerke vCloud Director
3.8.2
Unterstützte Browser
Der Zugriff auf den vCloud Director erfolgt über den Browser. Die Administratoren und Studenten
können sich über die Web-Konsole anmelden. Dazu müssen folgende Anforderungen für die
vCloud Director Version 1.5 erfüllt sein:
•
Die vCloud Director Web Console benötigt Adobe Flash Player Version 10.2 oder neuer.
Nur die 32-bit Version wird unterstützt
•
vCloud Director Clients müssen JRE 1.6.0 update 10 installiert und aktiviert haben. Nur die
32-bit Version wird unterstützt
•
vCloud Director Clients müssen SSL verwenden. Unterstützte Versionen sind SSL 3.0 und
TLS 1.0. Unterstützte Kryptosysteme sind RSA, DSS, Eliptic Curve signatures,DES3, AES128, oder AES-256
Die vCloud Director Konsole ist nur mit 32-bit Browser kompatibel. Auch auf 64-bit Plattformen
wird ein 32-bit Browser vorausgesetzt.
TA.BA_BAA+INF.F1201
Seite 24 / 28
Konzept Edu Cluster
Auf den entsprechenden Plattformen werden folgende Browser unterstützt:
Plattform
Internet
Explorer 7.x
Internet
Explorer 8.x
Internet
Explorer 9.x
Firefox
3.6, 4.x
Firefox
5.x
Windows XP Pro 32-bit
Windows XP Pro 64-bit
Windows Server 2003
Enterprise Edition 32-bit
Windows Server 2003
Enterprise Edition 64-bit
Windows Server 2008
Windows Server 2008 R2
Windows Vista 32-bit
Windows Vista 64-bit
Windows 7 32-bit
Windows 7 64-bit
Yes
Yes
Yes
Yes
Yes
Yes
No
No
No
Yes
Yes
Yes
Yes
Yes
Yes
Yes
Yes
No
Yes
Yes
Yes
No
Yes
Yes
No
No
Yes
Yes
Yes
Yes
Yes
Yes
Yes
Yes
Yes
Yes
Yes
Yes
Yes
Yes
Yes
No
Yes
Yes
N/A
N/A
Yes
Yes
Yes
Yes
Tabelle 6: Browserunterstützung Windows
Plattform
Firefox 3
Firefox 4.x
Firefox 5.x
Red Hat Enterprise Linux
5 (32 bit), Update 6
Red Hat Enterprise Linux
6 (32 bit)
Red Hat Enterprise Linux
6 (64 bit)
SLES 11 32-bit
Ubuntu 10.10 32-bit
Ubuntu 10.10 64-bit
No
Yes
Yes
No
Yes
Yes
No
Yes
Yes
No
No
No
Yes
Yes
Yes
Yes
Yes
Yes
Tabelle 7: Browserunterstützung Linux
Zusätzlich wurden neue Firefox Versionen getestet. Diese werden aber von VMware offiziell nicht
unterstützt:
Plattform
Firefox 11.x
Firefox 12.x
Ubuntu 10.10 64-bit
Windows 7 64-bit
Yes
Yes
Yes
Yes
Tabelle 8: Browserunterstützung Firefox
Gemäss VMware kann sogar von einem Mac auf den vCloud Director zugegriffen werden. Dazu
wird der Browser Firefox für Mac OS in der neuste Version 12 benötigt.
TA.BA_BAA+INF.F1201
Seite 25 / 28
Konzept Edu Cluster
3.8.3
Unterstütze Guest-Betriebssysteme
Folgende Guest-Betriebssysteme werden vom vCloud Director 1.5 auf den entsprechenden ESX
Servern unterstützt:
Guest Betriebssystem
ESX 4.0 U2
ESX 4.0 U3
ESX 4.1
ESX 4.1 U1
ESXi 5.0
Windows Server 2008 R2 (x64)
Yes
Yes
Yes
Yes
Yes
Windows Server 2008
Yes
Yes
Yes
Yes
Yes
Windows 7
Yes
Yes
Yes
Yes
Yes
Windows Vista
Yes
Yes
Yes
Yes
Yes
Windows XP/Embedded
Yes
Yes
Yes
Yes
Yes
Windows Server 2003
Yes
Yes
Yes
Yes
Yes
Windows Server 2000
Yes
Yes
Yes
Yes
Yes
Windows NT
Yes
Yes
Yes
Yes
Yes
CentOS 4/5
Yes
Yes
Yes
Yes
Yes
SLES 11
Yes
Yes
No
Yes
Yes
SLES 10
TBD
Yes
Yes
Yes
Yes
SLES 8,9
Yes
Yes
Yes
Yes
Yes
Asianux 4
No
No
No
No
Yes
Asianux 3
Yes
Yes
Yes
Yes
Yes
RHEL 6
Yes
Yes
Yes
Yes
Yes
RHEL 5
Yes
Yes
Yes
Yes
Yes
RHEL 4
Yes
Yes
Yes
Yes
Yes
RHEL 3
Yes
Yes
Yes
Yes
Yes
RHEL 2 (x32)
Yes
Yes
Yes
Yes
Yes
Debian GNU/Linux 6
No
No
No
No
Yes
Debian GNU/Linux 5
Yes
Yes
Yes
Yes
Yes
Debian GNU/Linux 4
Yes
Yes
Yes
Yes
Yes
Ubuntu
Yes
Yes
Yes
Yes
Yes
Oracle Enterprise Linux 4/5
Yes
Yes
No
Yes
Yes
Other 2.6.x Linux
Yes
Yes
Yes
Yes
Yes
Other 2.4.x Linux
Yes
Yes
Yes
Yes
Yes
Solaris 10
Yes
Yes
Yes
Yes
Yes
Tabelle 9: Unterstützte Guest-Betriebssysteme
Wie aus der Tabelle zu entnehmen ist, wird Mac OS nicht unterstützt.
TA.BA_BAA+INF.F1201
Seite 26 / 28
Konzept Edu Cluster
4 Verzeichnisse
4.1 Abbildungsverzeichnis
Abbildung 1: Cloud Computing ........................................................................................................... 5
Abbildung 2: VMware vSphere ........................................................................................................... 9
Abbildung 3: vCloud Director ........................................................................................................... 11
Abbildung 4: vShield App .................................................................................................................. 13
Abbildung 5: vShield Edge ................................................................................................................ 14
Abbildung 6: vShield Endpoint.......................................................................................................... 15
Abbildung 7: vShield Manager .......................................................................................................... 15
Abbildung 8: vCenter Orchestrator .................................................................................................. 16
Abbildung 9: Aufbau Edu Cluster ...................................................................................................... 17
Abbildung 10: Netzwerk Edu Cluster ................................................................................................ 21
Abbildung 11: Hierarchiestufen vCloud Director.............................................................................. 23
Abbildung 12: Netzwerke vCloud Director ....................................................................................... 24
4.2 Tabellenverzeichnis
Tabelle 1: Software Edu Cluster........................................................................................................ 18
Tabelle 2: VLAN Edu Cluster ............................................................................................................. 19
Tabelle 3: Domain Edu Claster .......................................................................................................... 20
Tabelle 4: VLAN Management Cluster .............................................................................................. 20
Tabelle 5: VLAN Resource Cluster..................................................................................................... 20
Tabelle 6: Browserunterstützung Windows ..................................................................................... 25
Tabelle 7: Browserunterstützung Linux ............................................................................................ 25
Tabelle 8: Browserunterstützung Firefox ......................................................................................... 25
Tabelle 9: Unterstützte Guest-Betriebssysteme............................................................................... 26
4.3 Quellenverzeichnis
Internet
http://www.ta-swiss.ch/?uid=178, 2011_TA_P16_CloudComputing.pdf (06.03.2012)
http://www.ta-swiss.ch/?uid=178, Cloud_Factsheet_de.pdf (06.03.2012)
http://de.wikipedia.org/wiki/Cloud_Computing (06.03.2012)
http://www.vmware.com/files/de/pdf/VMware-Company-Overview-DE.pdf (12.03.2012)
http://www.vmware.com/files/de/pdf/vsp_40_admin_guide_de.pdf (12.03.2012)
http://www.vmware.com/files/de/pdf/VMware-vCloud-Director-Datasheet.pdf (12.03.2012)
http://www.vmware.com/files/de/pdf/vshield_brochure_de.pdf (12.03.2012)
http://www.vmware.com/files/de/pdf/vshield_datasheet_de.pdf (12.03.2012)
http://de.wikipedia.org/wiki/Deep_Packet_Inspection (12.03.2012)
http://www.vmware.com/files/de/pdf/VMware-vShield-Edge-Datasheet.pdf (12.03.2012)
http://www.vmware.com/files/de/pdf/VMware-vShield-Endpoint-Datasheet.pdf (12.03.2012)
TA.BA_BAA+INF.F1201
Seite 27 / 28
Konzept Edu Cluster
http://www.vmware.com/de/products/datacenter-virtualization/vshield-manager/overview.html
(12.03.2012)
http://www.vmware.com/de/products/datacenter-virtualization/vcenter-orchestrator/overview.html
(12.03.2012)
Bilder
Abbildung 1:
http://upload.wikimedia.org/wikipedia/commons/b/b5/Cloud_computing.svg
(06.03.2012)
Abbildung 2:
https://www.vmware.com/files/images/evals/demos/
DGRM_vCenterServer_vSphereClient_Q209.jpg
(08.03.2012)
Abbildung 3:
http://www.vmware.com/files/images/screens_vcd/
VMW_10Q2_DGRM_vCloud_Director_R8_800x600.jpg
(08.03.2012)
Abbildung 4:
http://www.vmware.com/files/images/diagrams/
VMW-DGRM-vSHLD-SECURING-BUSINESS-APPS-600x800.jpg
(08.03.2012)
Abbildung 5:
http://www.vmware.com/files/images/diagrams/VMW-DGRM-vSHLD-EDGE-600x800.jpg
(08.03.2012)
Abbildung 6:
Abbildung 7:
Abbildung 8:
Abbildung 9:
Abbildung 10:
Abbildung 11:
Abbildung 12:
http://www.vmware.com/files/images/vshieldendpoint-diagram-large.jpg (08.03.2012)
http://www.vmware.com/files/images/vshieldfamily-diagram-large-02.jpg (08.03.2012)
http://www.vmware.com/files/images/diagrams/Orchestrator_Arch_A.jpg (08.03.2012)
David Copparoni (2012)
David Copparoni (2012)
David Copparoni (2012)
David Copparoni (2012)
Tabellen
Tabelle 1-5:
Tabelle 6-7:
David Copparoni (2012)
http://kb.vmware.com/selfservice/microsites/
search.do?language=en_US&cmd=displayKC&externalId=2005819
(12.03.2012)
Tabelle 9:
http://kb.vmware.com/selfservice/microsites/
search.do?language=en_US&cmd=displayKC&externalId=2005976
(12.03.2012)
TA.BA_BAA+INF.F1201
Seite 28 / 28
Kundenanforderungen
VMware vCloud Manager im Enterprise Lab
Autor:
David Copparoni
Modul:
TA.BA_BAA+INF.F1201
TA.BA_BAA+INF.F1201
Horw, 15. Juni 2012
Kundenanforderungen
Inhalt
1
Ziel und Zweck ............................................................................................................................ 4
2
Produktübersicht ........................................................................................................................ 5
3
Anforderungen ........................................................................................................................... 5
4
Anforderungen ........................................................................................................................... 6
5
4.1
Enterprise Lab ..................................................................................................................... 6
4.2
Modul INFSEC ..................................................................................................................... 7
Verzeichnisse .............................................................................................................................. 8
5.1
Abbildungsverzeichnis ........................................................................................................ 8
5.2
Tabellenverzeichnis ............................................................................................................ 8
5.3
Quellenverzeichnis.............................................................................................................. 8
TA.BA_BAA+INF.F1201
Seite 2 / 8
Kundenanforderungen
Versionen
Version
1.0
1.1
1.2
1.3
1.4
1.5
Datum
27.02.2012
01.03.2012
02.03.2012
09.03.2012
03.04.2012
07.06.2012
Autor
David Copparoni
David Copparoni
David Copparoni
David Copparoni
David Copparoni
David Copparoni
Bemerkungen
Dokument erstellt
Kundenanforderungen ergänzt
Kundenanforderungen ergänzt
Kundenanforderungen angepasst
Kundenanforderungen unterschrieben
Abschluss
Referenzen
Dokument
Aufgabenstellung
Bachelor-Diplomarbeit
Konzept Edu-Cluster
(Theorie-Teil)
vCloud Director
Evaluation Guied
TA.BA_BAA+INF.F1201
Version
Datum
25.01.2012
1.2
08.03.2012
1.0
01.11.2011
Autor(en)
Roland
Portmann
David
Copparoni
VMware
Bemerkungen
Anforderungen des Kunden
Seite 3 / 8
Kundenanforderungen
1 Ziel und Zweck
Es werden Anforderungen für das Enterprise Lab sowie für das Modul INFSEC aufgenommen. Die
Spezifikation erfolgt in Zusammenarbeit mit dem Enterprise Lab Team und dem verantwortlichen
Dozenten für die Versuche im Modul INFSEC. Die Anforderungsliste wird anschliessend von allen
beteiligten Personen unterschrieben um sicherzustellen, dass auf einer gemeinsamen Basis
weitergearbeitet werden kann. Änderungen der Anforderungen sind im Nachhinein noch möglich,
allerdings nur wenn sie den Projekterfolg nicht gefährden. Dieses Dokument dient zudem als
Grundlage für die Systemspezifikationen.
TA.BA_BAA+INF.F1201
Seite 4 / 8
Kundenanforderungen
2 Produktübersicht
Damit die Kundenanforderungen auf einer gemeinsamen Basis besprochen werden können, wird
in diesem Abschnitt eine grobe Übersicht gegeben, wie der Edu Cluster aussehen wird.
Der Edu Cluster muss gemäss VMware (vCloud Director Evaluation Guide) aus zwei Bereichen
bestehen. Die beiden Bereiche werden Management- und Resource-Cluster genannt. Der
Management Cluster ist für die Verwaltung und Konfiguration der Ressourcen zuständig. Auf dem
Resource Cluster laufen alle virtuellen Maschinen die den Kunden zur Verfügung gestellt werden.
3 Anforderungen
Abbildung 1: Edu-Cluster Übersicht
TA.BA_BAA+INF.F1201
Seite 5 / 8
Kundenanforderungen
4 Anforderungen
4.1 Enterprise Lab
Anforderung
Es muss möglich sein, Konfigurationen bestehend aus
mehreren virtuellen Rechnern und Netzwerken
effizient für viele Studierendengruppen zu erzeugen
Die Konfigurationen sollen auch einfache FirewallFunktionalitäten aufweisen können
Die Benutzer müssen sich über Accounts im
bestehenden Active Directory/LDAP authentisieren
können
Die Studierenden müssen vom Schulnetz auf ihre
Versuchsumgebung zugreifen können
Die Studierenden müssen vom Internet auf ihre
Versuchsumgebung zugreifen können
Die VMs im Resource Cluster müssen direkt über das
Schulnetz/VPN erreicht werden können (nicht über
das Management Interface)
Die einzelnen Versuchsumgebungen müssen
ausreichend gegeneinander abgeschottet sein
Die Administration muss möglichst einfach und
effizient sein
Es soll evaluiert werden, wie das Backup eingerichtet
werden kann um Datenverlust zu verhindern
Das Ressourcen Management (gleichmässige
Auslastung der ESXi Server) soll von den VMware
Produkten übernommen werden
Der Resource Cluster muss Skalierbar sein (weitere
ESXi Server müssen hinzugefügt werden können)
Alle VMs auf dem Management Cluster müssen per
FQDN erreichbar sein
Alle VMs auf dem Ressource Cluster müssen per
FQDN erreichbar sein
Die Mandantenfähigkeit muss gewährleistet sein
(Mandaten dürfen aber nicht beliebig Ressourcen
verbrauchen)
Es sollen keine neue Domänen und keine neuen
Accounts im Enterprise Lab erstellt werden
Die gesamte iCompany Umgebung soll auf dem Edu
Cluster aufgebaut werden
Die iCompany Umgebung muss auf dem Edu Cluster
geklont werden können
(mehrere iCloud Umgebungen parallel)
Der vOrchestrator von VMware soll für einen
möglichen Einsatz evaluiert werden
TA.BA_BAA+INF.F1201
Datum
25.01.2012
[P] Bemerkungen
1
25.01.2012
1
25.01.2012
1
25.01.2012
1
25.01.2012
1
24.02.2012
1
25.01.2012
1
25.01.2012
1
02.03.2012
1
02.03.2012
1
02.03.2012
1
02.03.2012
1
DNS-Auflösung
02.03.2012
2
DNS-Auflösung
02.03.2012
1
21.02.2012
1
02.03.2012
2
02.03.2012
2
02.03.2012
1
kein Recovery Test
Seite 6 / 8
Kundenanforderungen
Konkrete Vorschläge für den Einsatz der CloudProdukte von VMware in der Lehre und Anleitungen
für sinnvolle UseCases sollen gemacht werden
Eine Installationsanleitung muss vorhanden sein. Die
Installationsanleitung soll zudem aufs Wiki, in
Englisch, gestellt werden
Ein Administrationshandbuch muss vorhanden sein
Vom Internet muss direkt auf die VMs zugegriffen
werden können (z.B Webserver)
25.01.2012
1
02.03.2012
1
24.02.2012
08.2.2012
1
1
Tabelle 1: Anforderungen Enterprise Lab
Priorität [P]:
1: Pflicht Anforderung
2: Wunsch Anforderung
4.2 Modul INFSEC
Anforderung
Die VMs sollen identische interne IP-Adressen
aufweisen können. Die externen dürfen verschieden
sein (NAT)
Der INFSEC Versuch muss vollständig durchgeführt
werden können.
VM-Templates müssen den Studenten zur Verfügung
gestellt werden können. (Studenten dürfen aber nicht
zusätzliche Ressourcen verbrauchen)
Es soll ein Feldversuch mit Studieren gemacht
werden, die den Security Lab versuch durcharbeiten
Benutzeranleitung (Richtlinie für Studenten) muss für
das Fach INFSEC vorhanden sein
Datum
25.01.2012
[P] Bemerkungen
2
08.03.2012
1
01.03.2012
1
25.01.2012
2
08.03.2012
1
Tabelle 2: Anforderungen Modul INFSEC
Priorität [P]:
1: Pflicht Anforderung
2: Wunsch Anforderung
Die Abnahme der Anforderungen erfolgte am 03.04.2012. Die Anforderungen wurden gelesen und
akzeptiert.
Projektleiter
TA.BA_BAA+INF.F1201
Enterprise Lab Team
Seite 7 / 8
Kundenanforderungen
5 Verzeichnisse
5.1 Abbildungsverzeichnis
Abbildung 1: Edu-Cluster Übersicht.................................................................................................... 5
5.2 Tabellenverzeichnis
Tabelle 1: Anforderungen Enterprise Lab........................................................................................... 7
Tabelle 2: Anforderungen Modul INFSEC ........................................................................................... 7
5.3 Quellenverzeichnis
Bilder
Abbildung 1:
David Copparoni, (2012)
Tabellen
Tabelle 1-2:
David Copparoni, (2012)
TA.BA_BAA+INF.F1201
Seite 8 / 8
Betriebliche Aspekte
VMware vCloud Manager im Enterprise Lab
Autor:
David Copparoni
Modul:
TA.BA_BAA+INF.F1201
TA.BA_BAA+INF.F1201
Horw, 15. Juni 2012
Betriebliche Aspekte
Inhalt
1
Ziel und Zweck ............................................................................................................................ 4
2
Einsatzmöglichkeiten .................................................................................................................. 5
2.1
3
4
5
Selfservice-Portal für Studenten......................................................................................... 5
2.1.1
Ressourcenvergabe..................................................................................................... 5
2.1.2
Aufwandschätzung ..................................................................................................... 6
2.2
Modul IT-Security (INFSEC) ................................................................................................. 8
2.3
Weitere Einsatzmöglichkeiten ............................................................................................ 9
Evaluationsergebnisse vCenter Orchestrator ........................................................................... 10
3.1
UseCase ............................................................................................................................ 10
3.2
Fazit................................................................................................................................... 14
Kundenanforderungen ............................................................................................................. 15
4.1
Enterprise Lab ................................................................................................................... 15
4.2
Modul INFSEC ................................................................................................................... 16
Fazit Edu Cluster ....................................................................................................................... 17
Verzeichnisse .................................................................................................................................... 18
5.1
Abbildungsverzeichnis ...................................................................................................... 18
5.2
Tabellenverzeichnis .......................................................................................................... 18
5.3
Quellenverzeichnis............................................................................................................ 18
TA.BA_BAA+INF.F1201
Seite 2 / 18
Betriebliche Aspekte
Versionen
Version
1.0
1.1
Datum
Autor
01.06.2012 David Copparoni
07.06.2012 David Copparoni
Bemerkungen
Dokument erstellt
Abschluss
Referenzen
Dokument
Fragenkatalog
Testplan
Testprotokoll
Kundenanforderungen
TA.BA_BAA+INF.F1201
Version
1.2
1.2
1.2
1.5
Datum
07.06.2012
07.06.2012
07.06.2012
07.06.2012
Autor(en)
David Copparoni
David Copparoni
David Copparoni
David Copparoni
Bemerkungen
Seite 3 / 18
Betriebliche Aspekte
1 Ziel und Zweck
Dieses Dokument dient als Entscheidungsgrundlage für einen möglichen Einsatz des Edu Clusters.
Es werden verschiedene Einsatzmöglichkeiten aufgezeigt, wobei auf diejenige mit dem grössten
Potenzial genauer eingegangen wird. Weiter werden die Evaluationsergebnisse vom vCenter
Orchestrator anhand eines UseCases aufgezeigt. Auch für den vCenter Orchestrator werden
mögliche Einsatzgebiete vorgeschlagen. Zudem werden die Kundenanforderungen überprüft, um
sicherzustellen dass die Anforderungen an den Edu Cluster erfüllt werden. Zum Schluss wird noch
ein Fazit zum Edu Cluster gezogen.
TA.BA_BAA+INF.F1201
Seite 4 / 18
Betriebliche Aspekte
2 Einsatzmöglichkeiten
2.1 Selfservice-Portal für Studenten
Mit dem Edu Cluster kann den Studierenden ein Selfservice-Portal angeboten werden. Über dieses
Portal können die Studenten selber virtuelle Maschinen erstellen, verschiedenen Betriebssysteme
installieren, eigene Netzwerke verwalten und Firewalls konfigurieren. Damit die Studierenden
nicht beliebig viele Ressourcen verbrauchen, können diese vom Administrator eingeschränkt
werden. Für jeden Student kann der Verbrauch von CPU, RAM und Speicherplatz definiert
werden. Es kann auch angegeben werden wie viele VMs maximal erstellt werden dürfen. Auf die
Ressourcen kann über das Webportal des vCloud Directors zugegriffen werden. Der Zugriff kann
vom Schulnetz oder über VPN von zu Hause aus erfolgen. Somit haben die Studenten jederzeit
Zugriff auf ihre Ressourcen.
2.1.1
Ressourcenvergabe
Im Moment ist kein Konzept vorhanden wie Ressourcen angefordert werden können. Studenten
müssen beim Enterprise Lab Team ein Ticket eröffnet und wenn jemand Zeit hat, bearbeitet er das
Ticket. Es kann bis zu eineinhalb Wochen dauern bis die Ressourcen zur Verfügung stehen. Um
den Studenten das Selfservice-Portal möglichst attraktiv zu machen, soll dieser Vorgang
beschleunigt werden. Eine Möglichkeit den Vorgang zu beschleunigen besteht darin, die
Ressourcen vorgängig auf dem vCloud Director bereitzustellen. Es werden eine bestimmte Anzahl
Organisationen und Netzwerke erstellt, die den Studenten zugewiesen werden können. Der
Administrator muss bei einer Anfrage nur noch die Berechtigungen für den Zugriff konfigurieren.
Dies dauert nur wenige Minuten.
Damit der administrative Aufwand gering gehalten werden kann, muss ein Konzept für die
Ressourcenvergabe erstellt werden. Das Konzept soll sicherstellen, dass die Ressourcenvergabe
einheitlich gehandhabt wird. Die wichtigsten Punkte für das Konzept sind:
•
•
•
•
•
•
•
•
•
•
Zuständigkeiten
Ablauf der Ressourcenbeantragung
Maximale Dauer für die Ressourcenvergabe
Leihdauer der Ressourcen
Anzahl Ressourcen für jeden Student (CPU, RAM, Speicherplatz, Anzahl VMs)
Namensgebung
IP Adressvergabe
Konfiguration der Organisationen und Netzwerke
Berechtigungen
Support
TA.BA_BAA+INF.F1201
Seite 5 / 18
Betriebliche Aspekte
Ein weiterer wichtiger Punkt bei der Ressourcenvergabe ist die Vergabe der öffentlichen IP
Adressen. Standardmässig wird den Studenten eine private IP Adresse aus dem Enterprise Lab
Adressbereich zur Verfügung gestellt. Für gewisse Arbeiten wie z.B die Diplomarbeit oder das
Informatikprojekt, müssen die virtuellen Maschinen direkt vom Internet aus erreichbar sein. Dazu
muss den Studenten eine oder mehrere öffentlichen IP Adressen der Hochschule Luzern
zugewiesen werden. Diese müssen beim Enterprise Lab Team beantragt werden. Die
Konfiguration der öffentlichen IP Adressen wird von einem vCloud Director Administrator
durchgeführt. Studenten haben keine Möglichkeit dies selber vorzunehmen. Auch die Vergabe
und Konfiguration der öffentlichen IP Adressen muss im oben erwähnten Konzept klar geregelt
sein.
2.1.2
Aufwandschätzung
Zusätzlich zum Konzept für die Ressourcenvergabe muss eine Richtlinie zur Handhabung der
Ressourcen und eine Benutzeranleitung für Studenten erstellt werden. In der Richtlinie zur
Handhabung der Ressourcen muss definiert sein, was Studenten mit den Ressourcen dürfen und
was nicht. Zudem muss klar geregelt sein, was passiert wenn die Richtlinien nicht eingehalten
werden. Die Benutzeranleitung soll den Studenten zeigen, wie sie ihre Ressourcen erreichen und
konfigurieren können.
Folgender Aufwand wird für die Dokumentation geschätzt:
Dokumente
Konzept für die Ressourcenvergabe
Richtlinie zur Handhabung der Ressourcen
Benutzeranleitung für Studenten
Gesamtaufwand
Aufwand (Tage)
20
10
10
40
Aufwand (Stunden)
160
80
80
360
Tabelle 1: Aufwandschätzung Dokumentation
Weil auf dem Edu Cluster zu Evaluationszwecken immer wieder Änderungen vorgenommen
worden sind, wird vorgeschlagen den Edu Cluster neu zu installieren. Danach müssen noch
Vorbereitungen für die Ressourcenvergabe getroffen werden. Damit der Administrationsaufwand
für die Ressourcenvergabe gering bleibt, können vorgängig eine bestimmte Anzahl Organisationen
und Netzwerke auf dem vCloud Director erstellt werden. Für die Aufwandschätzung wird
angenommen, dass fünfzig Organisationen erstellt werden. Mit Hilfe des vCenter Orchestrators
kann das Erstellen der Organisationen beschleunigt werden.
TA.BA_BAA+INF.F1201
Seite 6 / 18
Betriebliche Aspekte
Folgender Aufwand wird für die Installation und Konfiguration des Edu Clusters geschätzt:
Installation/Konfiguration
Datenbank Server
vCenter Server
vShield Manager
vCloud Director
vCenter Orchestrator
Organisationen und Netzwerke
Gesamtaufwand
Aufwand (Tage)
0.5
1
0.5
1
0.5
1
4.5
Aufwand (Stunden)
4
8
4
8
4
8
36
Tabelle 2: Aufwandschätzung Installation Edu Cluster
Damit der Edu Cluster auch administriert werden kann, muss ein Techniker eingearbeitet werden.
Folgender Aufwand wird für die Einarbeitung geschätzt:
Tätigkeit
Einarbeitung Techniker
Gesamtaufwand
Aufwand (Tage)
20
20
Aufwand (Stunden)
160
160
Tabelle 3: Aufwandschätzung Einarbeitung Edu Cluster
Für die Aufwandschätzung der Hardware wird angenommen, dass im Durchschnitt 100 Studenten
gleichzeitig auf dem vCloud Director aktiv sein werden. Weiter wird angenommen, dass jeder
Student zwei virtuelle Maschinen hat mit je einem Windows und Linux Betriebssystem. Für die
Aufwandschätzung werden folgende Annahmen getroffen:
•
•
•
•
100 Studenten gleichzeitig aktiv
Windows VM verbraucht 4GB RAM und 20GB Speicherplatz
Linux VM verbraucht 2GB RAM und 10GB Speicherplatz
ESXi Server hat maximal 48 GB RAM
Weil keine speziellen Anforderungen an die CPU Rechenleistung gestellt sind, genügt die Anzahl
CPUs die in den ESXi Servern eingebaut sind.
Aus Gründen der Redundanz und Geschwindigkeit muss jeder ESXi Server zwei 10Gbit
Netzwerkkarten haben. Dies wird von VMware empfohlen. Damit die Ausfallsicherheit
gewährleistet werden kann, wird ein zusätzlicher ESXi Server benötigt.
TA.BA_BAA+INF.F1201
Seite 7 / 18
Betriebliche Aspekte
Folgende Hardwarekosten werden geschätzt:
Hardware
RAM
Speicherplatz
ESXi Server
Netzwerkkarten
Switch Anschlüsse
Berechnung
100 VMs * 6GB
100 VMs * 30GB
600GB RAM / 48GB RAM + 1
14 Server * 2 NIC‘s
-
Kosten
600 GB
3000 GB
14 Server
28 10Gbit
28 10Gbit
Tabelle 4: Schätzung Hardwarekosten
Aus diesen Berechnungen ergeben sich folgende Gesamtkosten:
Tätigkeit
Dokumentation
Installation und Konfiguration Edu Cluster
Einarbeitung Techniker
Hardware
Kosten
360 Arbeitsstunden
36 Arbeitsstunden
160 Arbeitsstunden
14 Server mit je zwei 10Gbit NIC’s und 48GB RAM
3000GB Speicherplatz
28 10Gbit Switch Anschlüsse
Tabelle 5: Gesamtkosten
Es werden 48GB RAM zusätzlich benötigt (648GB), weil aus Gründen der Ausfallsicherheit ein
zusätzlicher Server benötigt wird. Es können auch Server ausgewählt werden in die mehr als 48GB
RAM eingebaut werden können. Dann werden weniger Server benötigt.
2.2 Modul IT-Security (INFSEC)
Im Modul IT-Security werden jedes Jahr verschiedene Versuche durchgeführt. Einer dieser
Versuche beschäftigt sich mit der Betriebssystem-Sicherheit (OS-Security). Dazu werden jeder
Studentengruppe ein Windows und ein Linux Client zur Verfügung gestellt. Diese Versuche können
auch auf dem Edu Cluster durchgeführt werden. Allerdings kann der administrative Aufwand für
die Versuche durch den Edu Cluster nicht verringert werden. Für den Aufbau der Versuche fallen
sogar noch zusätzliche Arbeiten an. Dies weil für die Versuche, Organisationen und Netzwerke auf
dem vCloud Director eingerichtet werden müssen. Der Installations- und Konfigurationsaufwand
für den Windows und Linux Client bleibt hingegen gleich. Dafür verfügt jede Studentengruppe
über ein vShield Edge Device (virtuelle Firewall), das sie selber konfigurieren können. Der OSSecurity Versuch kann so erweitert werden, dass jede Studentengruppe den RDP und SSH Zugriff
auf die Clients selber einrichten muss. Damit wird ein zusätzlicher Lerneffekt erzeugt.
TA.BA_BAA+INF.F1201
Seite 8 / 18
Betriebliche Aspekte
2.3 Weitere Einsatzmöglichkeiten
Der Informatik Studiengang wurde auf das nächste Semester komplett geändert. Weil auch die
Module geändert werden, wird nicht weiter auf einzelne Module eingegangen.
Als Ergänzung zum Selfservice-Portal können verschiedene vApp Templates mit unterschiedlichen
Betriebssystemen erstellt und den Studenten zur Verfügung gestellt werden. Somit müssen die
Studenten nicht immer das Betriebssystem neu installieren und haben innerhalb weniger Minuten
ein lauffähiges System.
Es kommt immer wieder vor, dass in gewissen Modulen Testinstallationen auf den Geräten der
Studierenden durchgeführt werden müssen. Dies kommt bei den Studenten sehr schlecht an. Mit
dem Edu Cluster können die Testinstallation auf einer separaten Umgebung durchgeführt werden.
Der modulverantwortliche Dozent kann ein Template zur Verfügung stellen, welches von den
Studenten nur noch importiert werden muss.
In Modulen die sich mit Virtualisierung beschäftigen, können Virtualisierungsversuche
durchgeführt werden. Jeder Student kann dabei auf dem vCloud Director einen ESXi Server
installieren um seine eigene virtuelle Umgebung aufzubauen.
In vielen Modulen werden Versuche auf der iCompany durchgeführt. Die iCompany simuliert die
IT-Umgebung einer Firma. Die iCompany kann mit dem Edu Cluster komplett virtualisiert werden
(inkl. Firewalls). Somit besteht die Möglichkeit die iCompany komplett zu klonen. In jedem Modul
können dann die Versuche auf einer eigenen iCompany durchgeführt werden.
TA.BA_BAA+INF.F1201
Seite 9 / 18
Betriebliche Aspekte
3 Evaluationsergebnisse vCenter Orchestrator
Mit dem vCenter Orchestrator können alltägliche Arbeiten vereinfacht und automatisiert werden.
Es können zum Beispiel alle virtuellen Maschinen auf dem vCloud Director zu einem definierten
Zeitpunkt neu gestartet oder Organisationen mit wenig Aufwand erstellt werden. Für viele
einfache Abläufe werden im vCenter Orchestrator Vorlagen zur Verfügung gestellt. Wenn
verschiedene Aufgaben miteinander verbunden oder neu erstellt werden müssen, sind
Programmierkenntnisse erforderlich. Der vCenter Orchestrator setzt auf JavaScript. Damit können
beliebige Abläufe erstellt werden. Das Erstellen der Abläufe kann aber sehr viel Zeit in Anspruch
nehmen. Dank diversen Plug-Ins können Aufgaben im Bereich von Active Directory, vCenter Server
oder vCloud Director automatisiert und vereinfacht werden.
3.1 UseCase
Anhand eines UseCases sollen die Möglichkeiten des vCenter Orchestrators aufgezeigt werden.
Wie in Kapitel 2.1 beschrieben, müssen für das Selfservice-Portal mehrere Organisationen erstellt
werden. Der Erstellungsaufwand kann mit dem vCenter Orchestrator verringert werden. Damit
mehrere Organisationen effizient erstellt werden können, muss folgendermassen vorgegangen
werden:
Im vCenter Orchestrator gibt es bereits viele vordefinierte Abläufe (Workflows). Einer davon
erlaub es eine neue Organisation auf dem vCloud Director zu erstellen. Von diesem Workflow
kann eine Kopie erstellt werden, damit beliebige Anpassungen vorgenommen werden können.
Abbildung 1: Workflow "Add an organization"
TA.BA_BAA+INF.F1201
Seite 10 / 18
Betriebliche Aspekte
Der genaue Ablauf des Workflows wird im Register „Schema“ grafisch dargestellt. Im Schema wird
ersichtlich, dass zuerst der Befehl für das Erstellen der Organisation ausgeführt wird. Danach wird
gewartet bis der Vorgang abgeschlossen ist. Zum Schluss wird die Organisation als Rückgabewert
zurückgegeben. Dieser Rückgabewert kann zum Beispiel an weitere Workflows weiteregegeben
werden.
Abbildung 2: Workflow Schema
Damit der Workflow ausgeführt werden kann, müssen Input und Output Parameter angegeben
werden. Mit den Input Parametern wird definiert, welche Informationen benötigt werden um die
Organisation erfolgreich erstellen zu können. Das sind zum Beispiel Angaben wie der Name der
Organisation, Name des vCloud Directors, usw. In den Output Parametern wird der Rückgabewert
des Workflows definiert. In diesem Beispiel ist der Rückgabewert eine vCloud Organisation.
Abbildung 3: Input Parameter
Abbildung 4: Output Parameter
Zusätzlich muss per Scripting angegeben werden, wie die Input und Output Parameter verarbeitet
werden sollen. Die Scripting Sprache basiert auf JavaScript. In Abbildung 5 wird gezeigt, wie eine
Organisation aus den Input Parametern erstellt werden kann.
TA.BA_BAA+INF.F1201
Seite 11 / 18
Betriebliche Aspekte
Abbildung 5: Scripting Beispiel
Der fertiggestellte Workflow kann nun gestartet werden. Im Gegensatz zum vCloud Director
können alle benötigten Informationen für die Organisation auf einer Site angegeben werden.
Somit kann bei der Erstellung der Organisationen bereits einiges an Zeit eingespart werden.
Abbildung 6: Workflow Eingabemaske
TA.BA_BAA+INF.F1201
Seite 12 / 18
Betriebliche Aspekte
Um noch einen zusätzlichen Zeitgewinn zu erreichen, können die verschiedenen
Eingabeparameter fest definiert werden. Somit müssen diese nicht bei jedem Vorgang neu
eingegeben werden. Die Parameter können im Register „Presentation“ des Workflows definiert
werden. In diesem Beispiel wurde der Name des vCloud Directors fest vorgegeben.
Abbildung 7: vCloud Host Parameterdefninition
Sobald der Workflow wieder gestartet wird, ist der Name des vCloud Directors bereits
eingetragen. Wenn alle Parameter auf diese Weise definiert werden, muss am Schluss nur noch
der Organisationsname angepasst werden. Dies bedeutet einen erheblichen Zeitgewinn. Vor allem
dann wenn mehrere Organisationen erstellt werden müssen.
Abbildung 8: Vordefinierter Eingabewert
TA.BA_BAA+INF.F1201
Seite 13 / 18
Betriebliche Aspekte
3.2 Fazit
Für Aufgaben die nur selten und einmalig durchgeführt werden, wird der vCenter Orchestrator
nicht empfohlen. Dazu ist der Aufwand für die Erstellung oder Anapassung eines Workflows zu
gross. Der Einsatz macht vor allem bei täglich wiederkehrenden Aufgaben oder MassenErstellungsvorgängen Sinn. Hier kann sehr viel Zeit eingespart werden. Dank dem Scheduler kann
der vCenter Orchestrator auch für geplante Aufgaben eingesetzt werden. Mit dem vCenter
Orchestrator können fast beliebige Workflows erstellt und miteinander verknüpft werden. Dies ist
aber meistens mit einem grossen zeitlichen Aufwand verbunden. Zudem benötigt ein Techniker
eine gewisse Einarbeitungszeit um sich mit dem vCenter Orchestrator vertraut zu machen. Er
muss auch über grundlegende Programmierkenntnisse verfügen. Die Einarbeitungszeit für einen
Techniker wird folgendermassen eingeschätzt:
Tätigkeit
Einarbeitung Techniker
Gesamtaufwand
Aufwand (Tage)
20
20
Aufwand (Stunden)
160
160
Tabelle 6: Aufwandschätzung Einarbeitung vCenter Orchestrator
TA.BA_BAA+INF.F1201
Seite 14 / 18
Betriebliche Aspekte
4 Kundenanforderungen
In diesem Kapitel wird aufgezeigt, ob die Kundenanforderungen erfüllt werden konnten. Es
werden alle definierten Anforderungen aufgelistet und angegeben ob sie erfüllt werden konnten
oder nicht.
4.1 Enterprise Lab
Anforderung
Es muss möglich sein, Konfigurationen bestehend aus
mehreren virtuellen Rechnern und Netzwerken
effizient für viele Studierendengruppen zu erzeugen
Die Konfigurationen sollen auch einfache FirewallFunktionalitäten aufweisen können
Die Benutzer müssen sich über Accounts im
bestehenden Active Directory/LDAP authentisieren
können
Die Studierenden müssen vom Schulnetz auf ihre
Versuchsumgebung zugreifen können
Die Studierenden müssen vom Internet auf ihre
Versuchsumgebung zugreifen können
Die VMs im Resource Cluster müssen direkt über das
Schulnetz/VPN erreicht werden können (nicht über
das Management Interface)
Die einzelnen Versuchsumgebungen müssen
ausreichend gegeneinander abgeschottet sein
Die Administration muss möglichst einfach und
effizient sein
Es soll evaluiert werden, wie das Backup eingerichtet
werden kann um Datenverlust zu verhindern
Das Ressourcen Management (gleichmässige
Auslastung der ESXi Server) soll von den VMware
Produkten übernommen werden
Der Resource Cluster muss Skalierbar sein (weitere
ESXi Server müssen hinzugefügt werden können)
Alle VMs auf dem Management Cluster müssen per
FQDN erreichbar sein
Alle VMs auf dem Ressource Cluster müssen per
FQDN erreichbar sein
Die Mandantenfähigkeit muss gewährleistet sein
(Mandaten dürfen aber nicht beliebig Ressourcen
verbrauchen)
Es sollen keine neue Domänen und keine neuen
Accounts im Enterprise Lab erstellt werden
Die gesamte iCompany Umgebung soll auf dem Edu
Cluster aufgebaut werden
TA.BA_BAA+INF.F1201
[P] Erfüllt
1
Bemerkungen
1
1
1
1
1
1
1
1
1
1
1
2
Es handelt sich um eine
Wunschanforderung
1
1
2
Es handelt sich um eine
Wunschanforderung
Seite 15 / 18
Betriebliche Aspekte
Die iCompany Umgebung muss auf dem Edu Cluster
geklont werden können
(mehrere iCloud Umgebungen parallel)
Der vOrchestrator von VMware soll für einen
möglichen Einsatz evaluiert werden
Konkrete Vorschläge für den Einsatz der CloudProdukte von VMware in der Lehre und Anleitungen
für sinnvolle UseCases sollen gemacht werden
Eine Installationsanleitung muss vorhanden sein. Die
Installationsanleitung soll zudem aufs Wiki, in
Englisch, gestellt werden
Ein Administrationshandbuch muss vorhanden sein
2
Vom Internet muss direkt auf die VMs zugegriffen
werden können (z.B Webserver)
1
Es handelt sich um eine
Wunschanforderung
1
1
1
Die Anleitung ist erstellt,
aber noch nicht auf dem
Wiki
1
Tabelle 7: Kundenanforderungen Enterprise Lab
Priorität [P]:
1: Pflicht Anforderung
2: Wunsch Anforderung
4.2 Modul INFSEC
Anforderung
Die VMs sollen identische interne IP-Adressen
aufweisen können. Die externen dürfen verschieden
sein (NAT)
Der INFSEC Versuch muss vollständig durchgeführt
werden können.
VM-Templates müssen den Studenten zur Verfügung
gestellt werden können. (Studenten dürfen aber nicht
zusätzliche Ressourcen verbrauchen)
Es soll ein Feldversuch mit Studieren gemacht
werden, die den Security Lab versuch durcharbeiten
Benutzeranleitung (Richtlinie für Studenten) muss für
das Fach INFSEC vorhanden sein
[P] Erfüllt
2
Bemerkungen
1
1
2
1
Mit Herr Portmann
wurde abgemacht, dass
die Richtlinie für
Studenten nicht
Bestandteil der BDA ist.
Tabelle 8: Kundenanforderungen Modul INFSEC
Priorität [P]:
1: Pflicht Anforderung
TA.BA_BAA+INF.F1201
2: Wunsch Anforderung
Seite 16 / 18
Betriebliche Aspekte
5 Fazit Edu Cluster
Der vCloud Director ist klar auf das Cloud Computing ausgerichtet. Mit dem Edu Cluster kann eine
Private Cloud für die Lehre eingerichtet werden. In dieser Private Cloud können mehrere
voneinander abgeschottete Umgebungen zur Verfügung gestellt werden. In einer solchen
Umgebung können virtuelle Firewalls, Netzwerke und VMs selber erstellt und konfiguriert
werden. Somit kann auch ein Teil der virtuellen Checkpoint-Firewall-Instanzen im Enterprise Lab
abgelöst werden. Damit der Ressourcenverbrauch kontrolliert werden kann, können die
Ressourcen in jeder Umgebung eingeschränkt werden. Dank diesen Eigenschaften kann den
Studenten ein Selfservice-Portal zur Verfügung gestellt werden, auf dem die Studierenden frei
über ihre Ressourcen verfügen können. Dafür müssen aber klare Richtlinien für den Betrieb und
Unterhalt des Edu Clusters aufgestellt werden. Dadurch kann auch die Vergabe der Ressourcen
beschleunigt werden. Ein Selfservice-Portal für Studierende macht ein Studium an der Hochschule
für Technik und Architektur noch attraktiver. Studenten können jederzeit ihre Tests und
Projektarbeiten auf einer abgeschotteten Umgebung durchführen, ohne jedes Mal neue
Ressourcen beantragen zu müssen. Zusätzlich können die Studenten ihre Umgebung nach ihren
Bedürfnissen einrichten. Damit können sie zusätzliches Wissen im Bereich Firewall und Netzwerk
erwerben. Wie die Tests gezeigt haben, kann der Edu Cluster aber auch für Module in der Lehre
eingesetzt werden. Versuche können in der Private Cloud durchgeführt werden und müssen nicht
mehr auf den Notebooks der Studenten eingerichtet werden. Zudem können auch Versuche im
Bereich der Virtualisierung durchgeführt werden.
Trotz der vielen Vorteil die der Edu Cluster bietet müssen auch ein paar kritische Punkte beachtet
werden. Das Arbeiten mit dem Edu Cluster hat gezeigt, dass sich der administrative Aufwand nicht
direkt reduzieren lässt. Der Aufwand nimmt in manchen Fällen sogar zu. Zum Beispiel dauert das
Einrichten für den OS-Versuch im Modul IT-Security länger als bis anhin. Dies weil für den Versuch
zusätzlich eine Organisation mit den dazu benötigten Netzwerken erstellt werden muss. Zudem
müssen auch die virtuellen Firewalls konfiguriert werden. Ein weiterer Punkt der nicht
unterschätzt werden darf, ist die steigende Komplexität der IT-Umgebung. Im Edu Cluster
kommen neue Produkte zum Einsatz, die bis anhin an der Hochschule noch nicht verwendet
wurden. Auch die komplette Virtualisierung der Datencenter, Firewalls und Netzwerke tragen zur
Steigerung der Komplexität bei. Dadurch wird auch die Fehlersuche bei Problemen schwieriger.
Auch die Abhängigkeit vom Edu Cluster muss beachtet werden. Wenn alle Versuche und
Projektarbeiten in die Private Cloud ausgelagert werden, muss die Ausfallsicherheit gewährleistet
sein. Bei einem Ausfall der Datenbank zum Beispiel gehen alle Konfigurationen verloren. Weiter
bestehen noch Kompatibilitätsprobleme mit Mac und Linux Betriebssystemen. Der VPN Zugang
der Hochschule kann von Mac und Linux Benutzern nicht genutzt werden. Was einen externen
Zugriff auf die Ressourcen verunmöglicht. Mac Benutzer können zudem nicht auf das
Webinterface vom vCloud Director zugreifen, weil kein Mac-Browser unterstützt wird.
Abschliessend kann gesagt werden, dass der Edu Cluster eine flexible und übersichtliche Privat
Cloud Lösung bietet, die einfach und intuitiv administriert werden kann. Im Gegensatz dazu steigt
aber die Komplexität der IT-Umgebung.
TA.BA_BAA+INF.F1201
Seite 17 / 18
Betriebliche Aspekte
Verzeichnisse
5.1 Abbildungsverzeichnis
Abbildung 1: Workflow "Add an organization" ............................................................................... 10
Abbildung 2: Workflow Schema ....................................................................................................... 11
Abbildung 3: Input Parameter .......................................................................................................... 11
Abbildung 4: Output Parameter ....................................................................................................... 11
Abbildung 5: Scripting Beispiel ......................................................................................................... 12
Abbildung 6: Workflow Eingabemaske............................................................................................. 12
Abbildung 7: vCloud Host Parameterdefninition ............................................................................. 13
Abbildung 8: Vordefinierter Eingabewert ........................................................................................ 13
5.2 Tabellenverzeichnis
Tabelle 1: Aufwandschätzung Dokumentation .................................................................................. 6
Tabelle 2: Aufwandschätzung Installation Edu Cluster ...................................................................... 7
Tabelle 3: Aufwandschätzung Einarbeitung Edu Cluster .................................................................... 7
Tabelle 4: Schätzung Hardwarekosten ............................................................................................... 8
Tabelle 5: Gesamtkosten .................................................................................................................... 8
Tabelle 6: Aufwandschätzung Einarbeitung vCenter Orchestrator .................................................. 14
Tabelle 7: Kundenanforderungen Enterprise Lab............................................................................. 16
Tabelle 8: Kundenanforderungen Modul INFSEC ............................................................................. 16
5.3 Quellenverzeichnis
Bilder
Abbildung 1-8:
VMware vCenter Orchestrator Version 4.2, (2012)
Tabellen
Tabelle 1-8:
David Copparoni, (2012)
TA.BA_BAA+INF.F1201
Seite 18 / 18
Installationsanleitung
VMware vCloud Manager im Enterprise Lab
Autor:
David Copparoni
Modul:
TA.BA_BAA+INF.F1201
TA.BA_BAA+INF.F1201
Horw, 15. Juni 2012
Installationsanleitung Edu Cluster
Inhalt
1
Ziel und Zweck ............................................................................................................................ 4
2
Anforderungen ........................................................................................................................... 5
2.1.1
Hardware .................................................................................................................... 5
2.1.2
VLANs .......................................................................................................................... 5
2.1.3
Storage ........................................................................................................................ 5
2.1.4
Software und Lizenzen................................................................................................ 5
3
Vorbedingungen ......................................................................................................................... 6
4
Installation .................................................................................................................................. 7
5
4.1
ESXi Server (Management) ................................................................................................. 7
4.2
Datenbank Server ............................................................................................................... 7
4.3
vCenter Server .................................................................................................................. 10
4.4
vShield Manager ............................................................................................................... 16
4.5
vCloud Director ................................................................................................................. 17
4.6
vCenter Orchestrator ........................................................................................................ 22
Verzeichnisse ............................................................................................................................ 27
5.1
Abbildungsverzeichnis ...................................................................................................... 27
5.2
Tabellenverzeichnis .......................................................................................................... 27
5.3
Quellenverzeichnis............................................................................................................ 27
TA.BA_BAA+INF.F1201
Seite 2 / 27
Installationsanleitung Edu Cluster
Versionen
Version
1.0
1.1
1.2
Datum
14.05.2012
17.05.2012
07.06.2012
Autor
David Copparoni
David Copparoni
David Copparoni
Bemerkungen
Dokument erstellt
Dokument ergänzt
Abschluss
Referenzen
Dokument
vCloud Director
Evaluation Guied
Administrationshandbuch
Konzept Edu Cluster
Fragenkatalog
TA.BA_BAA+INF.F1201
Version
1.0
Datum
01.11.2011
Autor(en)
VMware
1.1
1.5
1.2
07.06.2012
07.06.2012
07.06.2012
David Copparoni
David Copparoni
David Copparoni
Bemerkungen
Seite 3 / 27
Installationsanleitung Edu Cluster
1 Ziel und Zweck
Dieses Dokument soll aufzeigen, welche Anforderungen nötig sind um den Edu Cluster installieren
zu können. Weil die ESXi Server bereits durch das Enterpise Lab Team installiert und konfiguriert
wurden, wird die Installation dieser Server nicht beschrieben. Eine Installationsanleitung für die
ESXi Server ist auf dem Wiki vom Enterprise Lab zu finden. Es wird die Installation aller VMware
Produkte beschreiben, die für den Edu Cluster benötigt werden. Die wichtigsten
Installationsschritte werden dabei genauer erklärt.
TA.BA_BAA+INF.F1201
Seite 4 / 27
Installationsanleitung Edu Cluster
2 Anforderungen
2.1.1
•
•
•
2.1.2
•
•
•
2.1.3
•
•
2.1.4
Hardware
mindestens ein ESXi Server für den Management Cluster
mindestens ein ESXi Server für den Resource Cluster
mindestens eine 1GB Netzwerkkare pro ESXi Server
VLANs
ein VLAN für den Management Cluster
ein VLAN für den Resource Cluster
ein VLAN für den vMotion Traffic
Storage
mindestens 200GB für den Management Cluster
mindestens 100GB für den Resource Cluster
Software und Lizenzen
Produkt
Anzahl
Bemerkungen
vSphere 5.0
1
Enterprise Plus Lizenz
vCloud Director 1.5
1
vShield Manager
1
Windows 2008 R2 (64-Bit)
3
RHEL 5.6 (64-Bit)
1
ESXi
mind. 2
Microsoft SQL Server 2008 R2
1
gleiche Lizenz wie vCloud Director
Tabelle 1: Software und Lizenzen
TA.BA_BAA+INF.F1201
Seite 5 / 27
Installationsanleitung Edu Cluster
3 Vorbedingungen
Die Installation und Konfiguration der ESXi Server und des Datastores für den Management und
Resource Cluster wurde durch das Enterprise Lab Team durchgeführt. Die Installation und
Konfiguration dieser Komponenten ist nicht Bestandteil dieser Installationsanleitung, weil dies
bereits auf dem Wiki vom Enterprise Lab beschrieben ist.
Die DNS Einträge müssen gemäss dem Edu Cluster Konzept erstellt sein. Für folgende Server muss
der DNS Eintrag nicht erstell werden, weil die Server ins Active Directory integriert werden:
•
•
•
vcs01.vm.el.campus.intern
vcs02.vm.el.campus.intern
vdb01.vm.el.campus.intern
TA.BA_BAA+INF.F1201
Seite 6 / 27
Installationsanleitung Edu Cluster
4 Installation
Die gesamte Installation basiert auf dem Edu Cluster Konzept. Die Namen und IP-Adressen der
Server sind in diesem Dokument beschrieben. Auch das VLAN Konzept ist im Edu Cluster Konzept
definiert.
4.1 ESXi Server (Management)
Damit die virtuellen Maschinen dem richtigen VLAN zugewiesen werden können, müssen diese
zuerst auf dem Management ESXi Server konfiguriert werden.
Konfiguration > Netzwerk > vSphere Standard-Switch > Netzwerk hinzufügen
Verbindungstyp
Virtuelle Maschine
Netzwerkzugriff
vSphere Standard-Switch erstellen
Netzwerkbezeichnung
Management
Resource
VLAN-ID (Management)
2000
VLAN-ID (Resource)
2064
4.2 Datenbank Server
Damit der vCloud Director, vCenter Orchestrator und die vCenter Server ihre Konfigurationen in
einer Datenbank speichern können, muss zuerst der Datenbank Server installiert werden.
1. VM auf dem ESXi Server des Management Clusters erstellen
Konfiguration
Name
Speicher
Version der virtuellen Maschine
Gastbetriebssystem
Anzahl virtuelle Sockets
Anzahl der Kerne pro virtuellem
Grösse des Arbeitsspeichers
Anzahl Netzwerkkarten
SCSI-Controller
Festplatte
Kapazität
Festplattenbereitstellung
Speicherort
Knoten des virtuellen Geräts
TA.BA_BAA+INF.F1201
Benutzerdefiniert
vdb01
Datastore Management Cluster
8
Microsoft Windows Server 2008 R2 (64-Bit)
1
2
4 GB
1
LSI Logic SAS
Neue virtuelle Festplatte
100 GB
Thick-Provision Lazy-Zeroed
Gemeinsam mit virtueller Maschine speichern
SCSI(0:0)
Seite 7 / 27
Installationsanleitung Edu Cluster
Bemerkung
Thick-Provision Lazy-Zeroed:
„Durch die Verwendung des standardmäßigen Flat-Formats für eine virtuelle Festplatte werden
gelöschte Dateien oder alte Daten, die sich möglicherweise in diesem zugeteilten Speicher
befinden, nicht durch Nullbyte ersetzt oder ihre Wiederherstellung unmöglich gemacht. Es ist
nicht möglich, eine Festplatte im Flat-Format in eine Thin-Festplatte zu konvertieren.“
Thick-Provision Eager-Zeroed:
„Ein Typ einer virtuellen Festplatte im Thick-Format, der Clusterfunktionen, wie z. B. Fault
Tolerance, unterstützt. Der Speicher, den die virtuelle Festplatte benötigt, wird beim Erstellen
zugewiesen. Im Gegensatz zum Flat-Format werden die auf dem physischen Gerät verbleibenden
Daten durch Nullbyte ersetzt („zeroed out“), wenn die virtuelle Festplatte erstellt wird. Das
Anlegen von Festplatten in diesem Format kann wesentlich länger dauern als das Anlegen
anderer Festplattentypen.“
(Wordpress.com, we are virtual, 2012)
2. Netzwerkkarte der VM dem Management VLAN (2000) zuweisen
3. Windows Server 2008 R2 installieren
Language to install
Time and currency format
Keyboard or input method
Disk Space
IP Adresse
Hostname
English
German (Switzerland)
Swiss German
100 GB (no partitions)
10.29.0.247
vdb01
4. VMware Tools installieren
5. NTP Server konfigurieren
Command Line Befehle:
w32tm /config /manualpeerlist:10.31.0.21 /syncfromflags:manual
w32tm /config /update
net start w32time
w32tm /resync
w32tm /query /computer:vcs0x /source
6. Microsoft Forefront Endpoint Protection 2010 installieren
7. Proxy Server im Internetexplorer konfigurieren
TA.BA_BAA+INF.F1201
Seite 8 / 27
Installationsanleitung Edu Cluster
Proxy server
Port
Bypass proxy server for local addresses
proxy.enterpriselab.ch
8080
*.el.campus.intern
10.29.*.*
10.31.*.*
Command Line Befehle:
netsh
winhttp
import proxy source=ie
show proxy
Bemerkung
Die Command Line Befehle werden benötigt, damit der Antivirus (Microsoft Forefront) die
Updates aus dem Internet beziehen kann.
8. Server ins Active Directory integrieren
9. Microsoft SQL Server 2008 R2 installieren
Server Installation
Setup Role
Feature Selection
Shared feature directory
Shared feature directory (x86)
Instance Configuration
Instance ID
Instance root directory
Server Configuration
Account Provisioning
SQL Server administrators
New installation
SQL Server Feature Installation
SQL Server Replication
Management Tools - Complete
default
default
Default instance
default
default
SQL Server Agent Startup Type Automatic
SQL Server Browser Startup Type Automatic
Mixed Mode
vdb01\Administrator
vm\vcloud
Bemerkung
Benutzer „vcloud“
Der Benutzer vcloud wurde speziell für den Edu Cluster im Active Directory erstellt. Er wird bei
Diensten eingesetzt, die einen speziellen Benutzeraccount benötigen oder auf das Active
Directory zugreifen müssen.
TA.BA_BAA+INF.F1201
Seite 9 / 27
Installationsanleitung Edu Cluster
4.3 vCenter Server
Für den Management und den Resource Cluster wird je ein vCenter Server benötigt. Dafür werden
auf dem ESXi Server des Management Clusters zwei virtuelle Maschinen mit Microsoft Windows
Server 2008 R2 erstellt. Auf diesen Server werden die vCenter Server installiert. Die
Konfigurationen der vCenter Server wird auf dem Datenbank Server gespeichert.
1. VMs auf dem ESXi Server des Management Clusters erstellen
Konfiguration
Name
Speicher
Version der virtuellen Maschine
Gastbetriebssystem
Anzahl virtuelle Sockets
Anzahl der Kerne pro virtuellem
Grösse des Arbeitsspeichers
Anzahl Netzwerkkarten
SCSI-Controller
Festplatte
Kapazität
Festplattenbereitstellung
Speicherort
Knoten des virtuellen Geräts
Benutzerdefiniert
vcs0x
Datastore Management Cluster
8
Microsoft Windows Server 2008 R2 (64-Bit)
1
2
4 GB
1
LSI Logic SAS
Neue virtuelle Festplatte
100 GB
Thick-Provision Lazy-Zeroed
Gemeinsam mit virtueller Maschine speichern
SCSI(0:0)
2. Netzwerkkarte der VMs dem Management VLAN (2000) zuweisen
3. Windows Server 2008 R2 installieren
Language to install
Time and currency format
Keyboard or input method
Disk Space
IP Adresse (vcs01)
IP Adresse (vcs02)
English
German (Switzerland)
Swiss German
100 GB (no partitions)
10.29.0.249
10.29.0.248
4. VMware Tools installieren
TA.BA_BAA+INF.F1201
Seite 10 / 27
Installationsanleitung Edu Cluster
5. NTP Server konfigurieren
Command Line Befehle:
w32tm /config /manualpeerlist:10.31.0.21 /syncfromflags:manual
w32tm /config /update
net start w32time
w32tm /resync
w32tm /query /computer:vcs01 /source
6. Microsoft Forefront Endpoint Protection 2010 installieren
7. Proxy Server im Internetexplorer konfigurieren
Proxy server
Port
Bypass proxy server for local addresses
proxy.enterpriselab.ch
8080
*.el.campus.intern
10.29.*.*
10.31.*.*
Command Line Befehle:
netsh
winhttp
import proxy source=ie
show proxy
TA.BA_BAA+INF.F1201
Seite 11 / 27
Installationsanleitung Edu Cluster
8. Datenbank für beide vCenter Server erstellen
use [master]
go
CREATE DATABASE [VCS0x] ON PRIMARY
(NAME = N'vcs0x', FILENAME = N'C:\Program Files\Microsoft SQL
Server\MSSQL10_50.MSSQLSERVER\MSSQL\DATA\VCS0x.mdf', SIZE = 5000KB, FILEGROWTH = 10% )
LOG ON
(NAME = N'vcs0x_log', FILENAME = N'C:\Program Files\Microsoft SQL
Server\MSSQL10_50.MSSQLSERVER\MSSQL\DATA\VCS0x.ldf', SIZE = 3000KB, FILEGROWTH = 10%)
COLLATE SQL_Latin1_General_CP1_CI_AS
go
use VCS0x
go
sp_addlogin @loginame=[vpxuser], @passwd=N'password', @defdb='VCS0x',
@deflanguage='us_english'
go
ALTER LOGIN [vpxuser] WITH CHECK_POLICY = OFF
go
CREATE USER [vpxuser] for LOGIN [vpxuser]
go
use MSDB
go
CREATE USER [vpxuser] for LOGIN [vpxuser]
Go
use VCS0x
go
sp_addrolemember @rolename = 'db_owner', @membername = 'vpxuser'
go
use MSDB
go
sp_addrolemember @rolename = 'db_owner', @membername = 'vpxuser'
go
9. Microsoft SQL Server 2008 R2 Native Client herunterladen und installieren
Bemerkung
Der Native Client wird benötigt, damit der vCenter Server eine Verbindung zur Datenbank
herstellen kann. Mit dem default Client ist dies nicht möglich.
TA.BA_BAA+INF.F1201
Seite 12 / 27
Installationsanleitung Edu Cluster
10. 64-Bit DSN erstellen
Der 64-Bit DSN muss mit einem Benutzer erstellt werden, der auf die vCenter Server Datenbanken
zugreifen kann. (z.B vm\vcloud)
Control Panel > Administrative Tools > Data Sources (ODBC)
ODBC Data Source Administrator
System DSN > Add..
Create New Data Source
SQL Server Native Client
Name
vdb01
Description
vcs0x-database
Server
10.29.0.247
Authetication
With Windows NT authentication using the
network login ID
Change the default database to
VCS0x
11. vCenter Server installieren
Der vCenter Server muss mit einem Benutzer installiert werden, der auf die vCenter Server
Datenbanken zugreifen kann. (z.B vm\vcloud)
Database Options
Fully Qualified Domain Name
Destination Folder
vCenter Server Linked Mode Options
Configure Ports
Configure Ports for Inventory Service
vCenter Server JVM Memory
Use an existing supported database > vdb01
VCS0x.vm.el.campus.intern
default
Create a standalone vCenter Server instance
default
Small
Bemerkung
Während der Installation erscheint eine Warnung dass der SQL Server Datenbank Modus auf „Full
recovery“ gestellt ist. Diese Meldung kann ignoriert werden. Je nach Backup Strategie wird diese
Option auf dem Datenbank Server geändert oder belassen.
„Use the simple recovery model if the following is true:
•
Point of failure recovery is unnecessary. If the database is lost or damaged, you are willing
to lose all the updates between a failure and the previous backup.
Use the full recovery model and, optionally, also the bulk-logged recovery model if any one of the
following is true:
•
•
You must be able to recover all the data.
You must be able to recover to the point of failure. „
TA.BA_BAA+INF.F1201
(Microsoft, MSDN Library, 2012)
Seite 13 / 27
Installationsanleitung Edu Cluster
12. vSphere Client installieren
13. Produkte Lizenzieren
Home > Administration > Licensing
Alle benötigten Lizenzen eintragen
Bemerkung
Der vCloud Director wird nicht über den vCenter Server lizenziert.
14. vCenter Server konfigurieren
File > New > Datacenter
Name
File > New > Cluster
Name (vcs01)
Name (vcs02)
Cluster Features
vSphere DRS
Datacenter
Management
Resource
Turn on vSphere DRS
Fully automated
Bemerkung
“vSphere DRS enables vCenter Server to manage the assignment of virtual machines to host
automatically, suggesting placement when virtual machines are powered on, and migrating
running virtual machines to balance load and enforce resource allocation policies.”
(VMware, vCenter Server Installation-Wizard, 2012)
14. ESXi Server zum Management und Resource Cluster hinzufügen
15. vSphere Distributed Switch erstellen
Der vSphere Distributed Switch (vDS) muss nur auf dem vCenter Server vom Resource Cluster
erstellt werden. Der vDS wird vom vCloud Director benötigt. Weil der vCloud Director nur auf den
Resource Cluster zugreift, muss kein vDS auf dem Management Cluster eingerichtet werden.
Home > Inventory > Networking > New vShpere Distributed Switch
Name
dvSwitch
Number of uplink ports
4
Add Hosts and Physical Adapters
Add later
Cluster Features
Turn on vSphere DRS
vSphere DRS
Fully automated
TA.BA_BAA+INF.F1201
Seite 14 / 27
Installationsanleitung Edu Cluster
16. Distributed Port Group auf dem vDS erstellen
In diesem Schritt wird das Externe Netzwerk für den vCloud Director erstellt.
Home > Inventory > Networking > dvSwitch > New Port Group
Name
External Network 2064
Number of Ports
128
VLAN type
VLAN
VLAN ID
2064
Select Host and Physicl Adapters
Server und Netzwerkkarten auswählen
Abbildung 1: Konfigurationsübersicht vDS
TA.BA_BAA+INF.F1201
Seite 15 / 27
Installationsanleitung Edu Cluster
4.4 vShield Manager
Der vShield Manager wird auf dem Management Cluster installiert. Der vShield Manager wird von
VMware als Open Virtualization Appliance (OVA) zur Verfügung gestellt. Eine OVA ist eine virtuelle
Maschine, die über den vSphere Client importiert werden kann.
1. OVA auf dem Management Cluster importieren
File > New > Deploy OVF Template…
Source
Name
Inventory Location
Host / Cluster
Storage
Disk Format
Network Mapping
Pfad zum OVA Template
vsm01
vcs01/Datacenter
Management
Datastore Management Cluster
Thick Provision Lazy Zeroed
Management Netzwerk
2. vShield Manager konfigurieren
Command Line Befehle:
enable
setup
IP Adress
Subnet Mask
Default Gateway
Primary DNS IP
Secondary DNS IP
DNS domain search list
TA.BA_BAA+INF.F1201
10.29.0.246
255.255.255.0
10.29.0.1
10.31.0.23
10.31.0.24
vm.el.campus.intern
Seite 16 / 27
Installationsanleitung Edu Cluster
4.5 vCloud Director
Auf dem Management Cluster wird eine virtuelle Maschine mit einem RedHat Enterprise Linux
(RHEL) erstellt. Auf dieser VM wird der vCloud Director installiert. Die VM und somit auch der
vCloud Director werden ins Resource VLAN (2064) gestellt. Die Konfigurationen des vCloud
Directors werden auf dem Datenbank Server gespeichert.
1. Datenbank für vCloud Director erstellen
USE [master]
GO
CREATE DATABASE [VCD01] ON PRIMARY
(NAME = N'VCD01', FILENAME = N'C:\Program Files\Microsoft SQL
Server\MSSQL10_50.MSSQLSERVER\MSSQL\DATA\VCD01.mdf', SIZE = 100MB, FILEGROWTH = 10% )
LOG ON
(NAME = N'vcdb_log', FILENAME = N'C:\Program Files\Microsoft SQL
Server\MSSQL10_50.MSSQLSERVER\MSSQL\DATA\VCD01.ldf', SIZE = 1MB, FILEGROWTH = 10%)
COLLATE Latin1_General_CS_AS
GO
USE [VCD01]
GO
ALTER DATABASE [VCD01]
SET SINGLE_USER WITH ROLLBACK IMMEDIATE;
ALTER DATABASE [VCD01]
SET ALLOW_SNAPSHOT_ISOLATION ON;
ALTER DATABASE [VCD01]
SET READ_COMMITTED_SNAPSHOT ON WITH NO_WAIT;
ALTER DATABASE [VCD01] SET MULTI_USER;
GO
USE [VCD01]
GO
CREATE LOGIN [vcloud] WITH PASSWORD = 'VMware2012', DEFAULT_DATABASE =[VCD01],
DEFAULT_LANGUAGE =[us_english], CHECK_POLICY=OFF
GO
CREATE USER [vcloud] for LOGIN [vcloud]
GO
USE [VCD01]
GO
sp_addrolemember [db_owner], [vcloud]
GO
TA.BA_BAA+INF.F1201
Seite 17 / 27
Installationsanleitung Edu Cluster
2. VM auf dem ESXi Server des Management Clusters erstellen
Konfiguration
Name
Speicher
Version der virtuellen Maschine
Gastbetriebssystem
Anzahl virtuelle Sockets
Anzahl der Kerne pro virtuellem
Grösse des Arbeitsspeichers
Anzahl Netzwerkkarten
SCSI-Controller
Festplatte
Kapazität
Festplattenbereitstellung
Speicherort
Knoten des virtuellen Geräts
Benutzerdefiniert
vcd01
Datastore Management Cluster
8
Red Hat Enterprise Linux 5 (64-Bit)
1
2
4 GB
2
LSI Logic Parallel
Neue virtuelle Festplatte
50 GB
Thick-Provision Lazy-Zeroed
Gemeinsam mit virtueller Maschine speichern
SCSI(0:0)
3. RedHat Enterprise Linux installieren
ISO mounten
IP Adressen
Subnet
Gateway
Primary DNS IP
Secondary DNS IP
10.29.64.2
10.29.64.3
255.255.255.0
10.29.64.1
10.31.0.23
10.31.0.24
4. NTP Server konfigurieren
In der Datei /etc/ntp.conf folgenden Eintrag hinzufügen:
•
server 10.31.0.21
Command Line Befehle:
ntpdate –u 10.31.0.21
/sbin/chkconfig ntpd on
/sbin/service ntpd start
TA.BA_BAA+INF.F1201
Seite 18 / 27
Installationsanleitung Edu Cluster
5. Firewall ausschalten
Command Line Befehle:
service iptables save
service iptables stop
chkconfig iptables off
6. vCloud Director installieren
•
•
•
ISO mounten
Binary ausführen um den Installationsprozess zu starten
o ./<vCloud Director binary>
vCloud Director konfigurations-Skript nicht ausführen
7. SSL Zertifikate generieren
Command Line Befehle:
cd /opt/vmware/vcloud-director/jre/bin
Self-Signed SSL Zertifikat für den HTTP Traffic
keytool -keystore /certificates.ks -storetype JCEKS -storepass
password -genkey -keyalg RSA - alias http
Self-Signed SSL Zertifikat für den CONSOLE-PROXY Traffic
/opt/vmware/vcloud-director/jre/bin/keytoolkeytool -keystore /certificates.ks -storetype JCEKS –
storepass password -genkey -keyalg RSA - alias http
Zertifikate überprüfen
keytool -storetype JCEKS -storepass password -keystore /
certificates.ks -list
TA.BA_BAA+INF.F1201
Seite 19 / 27
Installationsanleitung Edu Cluster
8. vCloud Director konfigurieren
Command Line Befehle:
/opt/vmware/vcloud-director/bin/configure
HTTP service IP
remote console proxy IP
Path to keystore
Database type
Database server IP
Database port
Database name
Database instance name
Start vCloud Director service now?
10.29.64.2
10.29.64.3
/certificates.ks
Microsoft SQL Server
10.29.0.247
default (1433)
VCD01
default (MSSQLSERVER)
yes
Login > https://10.29.64.2
License
User name
System name
Installation ID
Secondary DNS IP
License number
administrator
vcd01.vm.el.campus.intern
1
10.31.0.24
Attach a vCenter
Host name or IP address
Port Number
User name
vCenter Name
Host name or IP address (vShield Manager)
User name (vShield Manager)
vcs02.vm.el.campus.intern
443
administrator
vcs02
vsm01.vm.el.campus.intern
admin
Create a Provider vDC
Name
Enabled
Highest supported hardware version
Resource Pool
Datastore
Prepare Hosts
root User Name
Education
yes
8
vcs02/Resource
Datastore Resource Cluster
One credential for all hosts
root
TA.BA_BAA+INF.F1201
Seite 20 / 27
Installationsanleitung Edu Cluster
Bemerkung
Pro Ressourcenpool kann nur ein vDC (virtual Data Center) erstellt werden. Damit mehrere vDC
erstellt werden können, müssen im vCenter Server des Ressource Clusters mehrere Cluster
erstellt werden. Jeder Cluster besteht aus einem oder mehreren ESXi Server.
Weil es ab hier verschiedene Konfigurationsmöglichkeiten gibt, wird das Einrichten des vCloud
Directors nicht in diesem Dokument erklärt. Alle weiteren Schritte sind im Administrationshandbuch des Edu Clusters zu finden.
TA.BA_BAA+INF.F1201
Seite 21 / 27
Installationsanleitung Edu Cluster
4.6 vCenter Orchestrator
Der vCenter Orchestrator wird auf dem gleichen Server installiert wie der vCenter Server vom
Management Cluster. Die Konfiguration wird auf dem Datenbank Server gespeichert.
1. vCenter Orchestrator installieren (Client – Server Modus)
2. Login (vCenter Orchestrator Configuration)
User name
Password
vmware
vmware
Bemerkung
Der Benutzername kann nicht geändert werden.
3. Datenbank für vCenter Orchestrator erstellen (VCO01)
Abbildung 2: Übersicht Datenbanken
4. vCenter Orchestrator konfigurieren
Network
IP address
DNS name
Ports
Import SSL Certificate from URL
Import SSL Certificate from URL
Import SSL Certificate from URL
TA.BA_BAA+INF.F1201
10.29.0.249
vco01.vm.el.campus.intern
default
vcs01.vm.el.campus.intern
vcs02.vm.el.campus.intern
vcd01.vm.el.campus.intern
Seite 22 / 27
Installationsanleitung Edu Cluster
LDAP
LDAP client
Primary LDAP host
Secondary LDAP host
Port
Root
User name
User lookup base
Group lookup base
vCO Admin group
Database
Database Type
User name
Database host IP address or DNS name
Port
Database name
Instance name
Domain
Active Directory
infraad1.vm.el.campus.intern
infraad2.vm.el.campus.intern
389
dc=vm, dc=el, dc=campus, dc=intern
[email protected]
dc=vm, dc=el, dc=campus, dc=intern
ou=users, ou=EL Groups, dc=vm, dc=el,
dc=campus, dc=intern
cn=VMware vCenter Orchestrator
Administrators, ou=users, ou=EL Groups,
dc=vm, dc=el, dc=campus, dc=intern
SQLServer
vcloud
vdb01.vm.el.campus.intern
default (1433)
VCO01
MSSQLSERVER
vm.el.campus.intern
Nachdem die Konfiguration gespeichert ist, muss noch die Datenbank installiert werden:
Abbildung 3: Link für Datenbankinstallation
Server Certificate
Common name
Organization
Organizational unit
Country
TA.BA_BAA+INF.F1201
common name
organization
organizational unit
Schweiz (CH)
Seite 23 / 27
Installationsanleitung Edu Cluster
Licenses
vCenter Server Licenses
Host
Port
Secure channel
Path
Username
Use vCenter Server license
vcs01.vm.el.campus.intern
default (443)
yes
/sdk
administrator
Plug-ins
User name
Enabled plug-ins installation status
vcloud
enable all
vCenter Server > New vCenter Server Host
Available
Host
Host
Port
Secure channel
Path
User name for administrator session
Strategy for users logins
Domain
Enabled
vcs01.vm.el.campus.intern
vcs02.vm.el.campus.intern
default (443)
yes
/sdk
vcloud
Session per user
vm.el.campus.intern
Bemerkung
Strategy for users logins:
„Session per user CAUTION Each user who logs in to Orchestrator creates a new session to the
vCloud Director instance. Multiple sessions can rapidly strain CPU, memory and bandwidth.Select
this option if your vCloud Director is in an Active Directory domain. Make sure that the user has
the necessary permissions to perform the required operations.“
„Share a unique session Select this option to allow Orchestrator to create only one connection to
the vCloud Director instance. Type the credentials of a user who is a vCloud Director
administrator.“
(VMware, vCenter Orchestrator Documentation, 2012)
5. vCenter Orchestrator Plug-in for vCloud Director herunterladen und installieren
General
Install Application
TA.BA_BAA+INF.F1201
Path to plug-in
Seite 24 / 27
Installationsanleitung Edu Cluster
6. vCenter Orchestrator Plug-in for vCloud Director konfigurieren
vCloud Director
Available
Host
Port
Secure channel
Strategy for users logins
Organization
Enabled
vcd01.vm.el.campus.intern
default (443)
yes
Session per user
system
5. vCenter Orchestrator Plug-in for Active Directory herunterladen und installieren
General
Install Application
Path to plug-in
6. vCenter Orchestrator Plug-in for Active Directory konfigurieren
Active Directory
Copy from LDAP configuration
LDAP host
Port
Root
User name
no
infraad1.vm.el.campus.intern
default (389)
dc=vm, dc=el, dc=campus, dc=intern
[email protected]
7. Startup Optionen konfigurieren
Startup Options
Status
Status
TA.BA_BAA+INF.F1201
Install vCO server as service
Start service
Seite 25 / 27
Installationsanleitung Edu Cluster
8. vCenter Orchestrator Konfiguration überprüfen
Alle Statusmeldungen im vCenter Orchestrator müssen grün leuchten:
Abbildung 4: vCenter Orchestrator Statusmeldungen
9. Login über den vCenter Orchestrator Client
Überprüfen ob die Plug-Ins korrekt installiert wurden:
Abbildung 5: Installierte Plug-Ins
TA.BA_BAA+INF.F1201
Seite 26 / 27
Installationsanleitung Edu Cluster
5 Verzeichnisse
5.1 Abbildungsverzeichnis
Abbildung 1: Konfigurationsübersicht vDS ....................................................................................... 15
Abbildung 2: Übersicht Datenbanken............................................................................................... 22
Abbildung 3: Link für Datenbankinstallation .................................................................................... 23
Abbildung 4: vCenter Orchestrator Statusmeldungen ..................................................................... 26
Abbildung 5: Installierte Plug-Ins ...................................................................................................... 26
5.2 Tabellenverzeichnis
Tabelle 1: Software und Lizenzen ....................................................................................................... 5
5.3 Quellenverzeichnis
Internet
http://wearevirtual.wordpress.com/2012/01/10/vsphere-5-vdisk-format-lazy-zeroed-vs-eager-zeroed/
(17.05.2012)
http://msdn.microsoft.com/en-us/library/ms175987(SQL.90).aspx (17.05.2012)
http://pubs.vmware.com/orchestrator-plugins/index.jsp?topic=/com.vmware.using.vcloud
director.plugin.doc_15/GUID-D8F19C30-E597-4527-B586-5B3A6F3C9CEF.html
(17.05.2012)
http://www.vmware.com/files/pdf/techpaper/VMW-vCloud-Director1_5-EvalGuide.pdf (17.05.2012)
Software
VMware vCenter Server Version 5.0
Das Zitat über den Distributed Resource Scheduler (DRS) in Kapitel 10, stammt vom vCenter Server
Installations-Wizard.
Bilder
Abbildung 1:
Abbildung 2:
Abbildung 3-5:
VMware vCenter Server Version 5.0, (2012)
Microsoft SQL Server 2008 R2, (2012)
VMware vCenter Orchestrator Version 4.2, (2012)
Tabellen
Tabelle 1:
David Copparoni, (2012)
TA.BA_BAA+INF.F1201
Seite 27 / 27
Administrationshandbuch
VMware vCloud Manager im Enterprise Lab
Autor:
David Copparoni
Modul:
TA.BA_BAA+INF.F1201
TA.BA_BAA+INF.F1201
Horw, 15. Juni 2012
Administrationshandbuch
Inhalt
1
Ziel und Zweck ............................................................................................................................ 4
2
Vorbedingungen ......................................................................................................................... 5
3
vCloud Director ........................................................................................................................... 6
4
3.1
LDAP Konfiguration............................................................................................................. 6
3.2
Externe Netzwerke ............................................................................................................. 7
3.3
Netzwerk Pools ................................................................................................................... 8
3.3.1
VLAN-basiert ............................................................................................................... 8
3.3.2
Netzwerkisolationsbasiert .......................................................................................... 8
3.4
Organisationen ................................................................................................................... 9
3.5
Virtuelle Datencenter (vDC).............................................................................................. 10
3.6
Organisationsnetzwerke ................................................................................................... 11
3.6.1
Internes Netzwerk .................................................................................................... 11
3.6.2
Externes Netzwerk über weitergeleitete Verbindung .............................................. 12
3.6.3
Externes Netzwerk über Direkte Verbindung ........................................................... 13
3.7
vApp Netzwerke ............................................................................................................... 14
3.8
Netzwerkkonfiguration für VMs ....................................................................................... 15
3.9
vShield Edge ...................................................................................................................... 15
3.10
Benutzerverwaltung ......................................................................................................... 16
3.11
Kataloge ............................................................................................................................ 17
3.12
vApp Templates ................................................................................................................ 18
3.13
Guest OS Customization ................................................................................................... 19
Verzeichnisse ............................................................................................................................ 20
4.1
Abbildungsverzeichnis ...................................................................................................... 20
4.2
Quellenverzeichnis............................................................................................................ 20
TA.BA_BAA+INF.F1201
Seite 2 / 20
Administrationshandbuch
Versionen
Version
1.0
1.1
Datum
Autor
28.05.2012 David Copparoni
07.06.2012 David Copparoni
Bemerkungen
Dokument erstellt
Abschluss
Referenzen
Dokument
Installationsanleitung
Edu Cluster Konzept
Testplan
Testprotokoll
TA.BA_BAA+INF.F1201
Version
1.2
1.5
1.2
1.2
Datum
07.06.2012
07.06.2012
07.06.2012
07.06.2012
Autor(en)
David Copparoni
David Copparoni
David Copparoni
David Copparoni
Bemerkungen
Seite 3 / 20
Administrationshandbuch
1 Ziel und Zweck
In diesem Dokument wird aufgezeigt, welche Möglichkeiten der vCloud Director bietet. Es werden
die wichtigsten Bereiche vorgestellt und gezeigt, wie sie konfiguriert werden können. Es wurden
diejenige Bereiche ausgewählt, welche für den Einsatz in der Lehre relevant sind. Weil es bereits
ein Administrationshandbuch von VMware zum vCloud Director gibt, werden die Konfigurationen
anhand eines konkreten Beispiels durchgeführt. Als Grundlage für dieses Dokument dient der OSSecurity Versuch vom Modul IT-Security (INFSEC). Der Versuch ist im Testplan und Testprotokoll
beschrieben. Zusätzliche Information zur Administration des vCloud Directors können aus dem
Administration-Guide entnommen werden. Dieser ist auf der VMware Homepage zu finden.
TA.BA_BAA+INF.F1201
Seite 4 / 20
Administrationshandbuch
2 Vorbedingungen
Damit die in diesem Dokument beschrieben Konfiguration vorgenommen werden können, muss
der Edu Cluster gemäss Installationsanleitung aufgebaut sein.
TA.BA_BAA+INF.F1201
Seite 5 / 20
Administrationshandbuch
3 vCloud Director
3.1 LDAP Konfiguration
Der vCloud Director kann von Benutzern aus dem Active Directory oder LDAP Verzeichnis
administriert werden. Dazu muss die Verbindung zum entsprechenden Verzeichnisdienst in den
Optionen des vCloud Directors eingerichtet werden.
Administration > System Settings > LDAP
Server
Port
Base distinguished name
SSL
Authentication method
User name
infraad1.vm.el.campus.intern
636
dc=vm,dc=el,dc=campus,dc=intern
Use SSL (yes)
Accept all certificates (yes)
Simple
[email protected]
Danach können die Benutzer importiert werden:
Administration > System Administrators & Roles > Users > Import from LDAP…
Abbildung 1: LDAP Benutzer
Im Register „Roles“ können Rollen global definiert werden. Diese Rollen können von allen
Organisationen verwendet werden. Innerhalb einer Organisation gibt es keine Möglichkeit Rollen
zu definieren. Folgende Rollen sind bereits vordefiniert:
Abbildung 2: vCloud Director Rollen
TA.BA_BAA+INF.F1201
Seite 6 / 20
Administrationshandbuch
3.2 Externe Netzwerke
Manage & Monitor > External Networks > Add Network…
vCenter
vcs02
vSphere Network
External Network 2064
VLAN
2064
Network mask
255.255.255.0
Default gateway
10.29.64.1
Primary DNS
10.31.0.23
Secondary DNS
10.31.0.23
Static IP pool
10.29.64.101 – 10.29.64.200
Network Name
External Network 2064
vSphere Network
Damit ein vSphere Network ausgewählt werden kann, muss es vorgängig auf dem vCenter Server
erstellt worden sein. Dazu muss auf dem vSphere Distributed Switch (vDS) des vCenter Servers
eine neue Portgruppe mit dem entsprechenden VLAN erstellt werden.
Static IP pool
Alle Organisationsnetzwerke, die mit dem externen Netzwerk verbunden werden, erhalten eine
IP Adresse aus dem Static IP pool. Weil der Static IP pool aus 100 Adressen besteht, können
maximal 100 Organisationsnetzwerke mit dem externen Netzwerk verbunden werden.
TA.BA_BAA+INF.F1201
Seite 7 / 20
Administrationshandbuch
3.3 Netzwerk Pools
Netzwerk Pools werden verwendet, um den Netzwerkverkehr von vApp- und
Organisationsnetzwerken voneinander abzuschotten. Der Netzwerkverkehr von jedem Netzwerk
in einem Pool wird auf Layer 2 von allen anderen Netzwerken isoliert.
Es gibt zwei Varianten die geeignet sind um ein Netzwerk Pool für den Edu Cluster einzurichten.
VLAN-basiert oder Netzwerkisolationsbasiert. Bei der VLAN-basierten Variante wird ein Range von
VLANs (z.B 10-50) konfiguriert, der dynamisch den vApp- und Organisationsnetzwerken
zugewiesen wird (ähnlich wie DHCP). Diese Variante wird von VMware empfohlen. Ein
netzwerkisolationsbasierter Pool wird eingesetzt, wenn zu wenig VLANs zur Verfügung stehen.
Der Traffic wird mit Hilfe der Mac-in-Mac Technik getrennt. Somit kann ein VLAN für alle vAppund Organisationsnetzwerke verwendet werden.
3.3.1
VLAN-basiert
Manage & Monitor > Network Pools > Add Network Pool
Network Pool Type
VLAN-backed
VLAN ID Range
2065 - 2125
vCenter
vcs02
vDS
dvSwitch
Name
Education Pool 2065-2125
3.3.2
Netzwerkisolationsbasiert
Manage & Monitor > Network Pools > Add Network Pool
Network Pool Type
Network isolation-backed
Number of VCD isolated networks
100
VLAN ID
2065
vCenter
vcs01
vDS
dvSwitch
Name
Education Pool 2065
TA.BA_BAA+INF.F1201
Seite 8 / 20
Administrationshandbuch
3.4 Organisationen
Die Organisation stellt die oberste Hierarchie-Stufe im vCloud Director dar. In einer Organisation
können ein oder mehrere virtuelle Daten Center erstellt werden. Eine Organisation enthält
Benutzer und die von ihnen erstellten vApps.
Manage & Monitor > Organizations > New Organization
Organization
INFSEC
Organization full name
Information Security
LDAP Options
Custom LDAP service
Server
infraad1.vm.el.campus.intern
Port
636
Base distinguished name
dc=vm,dc=el,dc=campus,dc=intern
SSL
Use SSL (yes)
Accept all certificates (yes)
Authentication method
Simple
User name
[email protected]
Add Local Users
Add…
User name
localadmin
Roles available to this user
Organization Administrator
Catalog Publishing
Cannot publish catalogs
Maximum runtime lease
180
Maximum storage lease (vApp)
180
Maximum storage lease (template)
180
Storage cleanup
Move to Expired Items
Die URL für den Zugriff über das Webinterface kann in den Optionen der Organisation gefunden
werden:
Manage & Monitor > Organizations > INFSEC > Properties
Local Users
Es wird ein lokaler Administrator erstellt, damit der Zugriff auch noch möglich ist wenn der LDAP
Server nicht erreichbar ist.
TA.BA_BAA+INF.F1201
Seite 9 / 20
Administrationshandbuch
3.5 Virtuelle Datencenter (vDC)
Ein virtuelles Datencenter stellt einer Organisation die Ressourcen zur Verfügung. Innerhalb einer
Organisation können mehrere virtuelle Datencenter erstellt werden.
Manage & Monitor > Organization vDCs > New vDC…
Organization
INFSEC
Provider vDC
Education
Allocation Model
Allocation Pool
CPU allocation
6 GHz at 0 % guarantee
Memory allocation
8 GB at 100 % guarantee
Maximum number of VMs
2
Storage limit
100 GB
Enable thin provisioning
yes
Enable fast provisioning
yes
Network pool
Education 2065 – 2125
Quota for this organization
2
Name
INFSEC-1
Enabled
yes
Allocation Model
Allocation Pool:
Nur ein bestimmter Prozentsatz der zugewiesenen Ressourcen wird dem vDC zugesichert.
Reservation Pool:
Alle zugewiesenen Ressourcen werden dem vDC zugesichert.
Pay-As-You-Go:
Ressourcen werden nur dann zugesichert, wenn vApps im vDC erstellt werden.
TA.BA_BAA+INF.F1201
Seite 10 / 20
Administrationshandbuch
3.6 Organisationsnetzwerke
Es gibt drei Möglichkeiten wie Organisationsnetzwerke eingerichtet werden können:
•
•
•
3.6.1
Internes Netzwerk
Externes Netzwerk über weitergeleitete Verbindung
Externes Netzwerk über Direkte Verbindung
Internes Netzwerk
Der Zugriff auf ein internes Netzwerk ist nur innerhalb einer Organisation möglich. Das interne
Netzwerk ist komplett abgeschottet und bietet keine Möglichkeit auf ein anderes Netzwerk
zuzugreifen.
Abbildung 3: Internes Netzwerk
Manage & Monitor > Organization vDCs > Add Network…
Select Organisation
INFSEC
Type
Typical
Create an internal network
yes
Create an external network
no
Network Pool
Education Pool 2065-2125
Network mask
255.255.255.0
Default gateway
192.168.1.1
Static IP pool
192.168.1.100 – 192.168.1.199
Name
INFSEC Internal Network
TA.BA_BAA+INF.F1201
Seite 11 / 20
Administrationshandbuch
3.6.2
Externes Netzwerk über weitergeleitete Verbindung
Ein externes Organisationsnetzwerk mit einer weitergeleiteten Verbindung, stellt die
Konnektivität zu einem externen Netzwerk her. Der Zugriff auf das externe Netzwerk wird durch
ein vShield Edge Device gesichert. Alle Organisationen die am gleichen externen Netzwerk
angeschlossen sind, haben die Möglichkeit miteinander kommunizieren. Dazu muss aber das
vShield Edge Device entsprechend konfiguriert werden.
Abbildung 4: Externes Netzwerk über weitergeleitete Verbindung
Manage & Monitor > Organization vDCs > Add Network…
Select Organisation
INFSEC
Type
Typical
Create an internal network
no
Create an external network via Routed connection yes
Only us networks that are accessible by this org.
yes
External Network
External Network 2064
Network Pool
Education Pool 2065-2125
Network mask
255.255.255.0
Default gateway
192.168.0.1
Primary DNS
10.31.0.23
Secondary DNS
10.31.0.24
Static IP pool
192.168.0.100 – 192.168.0.199
Name
INFSEC Ext Routed Network
TA.BA_BAA+INF.F1201
Seite 12 / 20
Administrationshandbuch
3.6.3
Externes Netzwerk über Direkte Verbindung
Ein externes Organisationsnetzwerk über eine direkte Verbindung, stellt die Konnektivität zu
einem externen Netzwerk her. Im Unterschied zu einem Organisationsnetzwerk über eine
weitergeleitete Verbindung, wird kein vShield Edge Device eingesetzt. Alle Organisationen die am
gleichen externen Netzwerk angeschlossen sind, haben die Möglichkeit miteinander
kommunizieren. Um die Organisationen vor externen Zugriffen zu schützen, muss im externen
Netzwerk eine Firewall eingesetzt werden. Das externe Netzwerk kann nicht innerhalb des Edu
Clusters verwaltet werden. Deshalb muss die Firewall von den Administratoren bereitgestellt
werden, die für das externe Netzwerk zuständig sind.
Abbildung 5: Externes Netzwerk über Direkte Verbindung
Manage & Monitor > Organization vDCs > Add Network…
Select Organisation
INFSEC
Type
Typical
Create an internal network
no
Create an external network via Direct connection
yes
Only us networks that are accessible by this org.
yes
External Network
External Network 2064
Name
INFSEC Direct Connected Network
TA.BA_BAA+INF.F1201
Seite 13 / 20
Administrationshandbuch
3.7 vApp Netzwerke
Innerhalb einer Organisation können verschiedene vApp Netzwerke erstellt werden. Durch vApp
Netzwerke können die verschiedenen vApp’s voneinander abgeschottet werden. Der Zugriff wird
durch ein vShield Edge Device gesichert.
Abbildung 6: vApp Netzwerk mit vShield Edge Device
Manage & Monitor > Organizations > INFSEC > My Cloud > vApps > vApp > Networking > Add Network…
Network Type
Network mask
Default gateway
Static IP pool
Name
vApp network
255.255.255.0
192.168.2.1
192.168.2.100 – 192.168.2.199
vApp OS-Security1 Network
Die Firewall und NAT Konfiguration kann erst vorgenommen werden, wenn das Netzwerk erstellt
und die vApp gestartet ist. Zusätzlich muss noch ausgewählt werden, ob das vApp Netzwerk an
einem Organisationsnetzwerk angeschlossen werden soll.
Abbildung 7: Konfigurationsmöglichkeiten für vApp Netzwerke
TA.BA_BAA+INF.F1201
Seite 14 / 20
Administrationshandbuch
3.8 Netzwerkkonfiguration für VMs
Die Netzwerkzuweisung der virtuellen Maschinen kann in den Optionen der VMs vorgenommen
werden.
VM > Properties > Hardware > NICs
Abbildung 8: Netzwerkzuweisung für VMs
3.9 vShield Edge
Das vShield Edge Device kann über die Option „Configure Services…“ der Netzwerke konfiguriert
werden. Dazu genügt ein Rechtsklick auf das entsprechende Netzwerk.
Abbildung 9: Netzwerk Menu
Die wichtigsten Dienste die auf dem vShield Edge Device konfiguriert werden können sind:
•
•
•
•
DHCP
Firewall
NAT
Static Routing
TA.BA_BAA+INF.F1201
Seite 15 / 20
Administrationshandbuch
3.10 Benutzerverwaltung
Die Benutzerverwaltung einer Organisation kann über ein Active Directory oder LDAP Verzeichnis
vorgenommen werden. Dazu muss die Verbindung zum entsprechenden Verzeichnisdienst in den
Optionen der Organisation eingerichtet werden.
Organization > Administration > Settings > LDAP > Custom LDAP service
Server
infraad1.vm.el.campus.intern
Port
636
Base distinguished name
dc=vm,dc=el,dc=campus,dc=intern
SSL
Use SSL (yes)
Accept all certificates (yes)
Authentication method
Simple
User name
[email protected]
Danach können die Benutzer importiert und die Rollen vergeben werden:
Organization > Administration > Members > Users
Abbildung 10: LDAP Benutzer
Hinweis
Die Berechtigungen/Rollen können nur global definiert werden (Kapitel 3.1).
TA.BA_BAA+INF.F1201
Seite 16 / 20
Administrationshandbuch
3.11 Kataloge
Für jede Organisation kann ein oder mehrere Kataloge erstellt werden. In einem Katalog können
vApp Templates und Medien (ISO Images) gespeichert werden. Benutzer die Zugriff auf den
Katalog haben, können die Templates einfach klonen. Der Medienkatalog dient als zentraler ISOStore für die Organisation.
Abbildung 11: vApp Templates
Abbildung 12: Medienkatalog
Es gibt zwei verschiedene Katalogtypen:
•
•
Organisations-Kataloge
Öffentliche Kataloge
Organisations-Kataloge sind nur innerhalb einer Organisation sichtbar. Auf öffentliche Kataloge
hingegen, haben alle Organisationen Zugriff. Ob es einer Organisation erlaubt ist den öffentlichen
Katalog zu verwenden, kann in den Eigenschaften der Organisation eingestellt werden:
Abbildung 13: Katalogeigenschaften einer Organisation
Wenn es einer Organisation erlaubt ist einen öffentlichen Katalog zu verwenden, kann der Katalog
beim Erstellen oder im Nachhinein in den Optionen veröffentlicht werden:
Abbildung 14: Katalog veröffentlichen
TA.BA_BAA+INF.F1201
Seite 17 / 20
Administrationshandbuch
Auch Berechtigungen und Zugriffsrechte auf einen Katalog können konfiguriert werden:
Abbildung 15: Katalogberechtigungen
3.12 vApp Templates
vApp Templates sind Vorlagen, die aus einer oder mehreren virtuellen Maschinen bestehen.
Benutzer die Zugriff auf den Katalog haben, können die Templates einfach klonen und müssen die
VMs nicht von Grund auf neu installieren. Damit ein vApp Template erstellt werden kann, muss
ein Katalog vorhanden sein.
Mit einem Rechtsklick auf eine vApp und der Option „Add to Catalog…“ kann ein vApp Template
erstellt werden:
Abbildung 16: vApp Template erstellen
TA.BA_BAA+INF.F1201
Seite 18 / 20
Administrationshandbuch
3.13 Guest OS Customization
Mit der Guest OS Customization Option können gewisse Konfigurationen der VMs automatisch
angepasst werden. Damit die Guest OS Customization durchgeführt werden kann, müssen die
VMware Tools auf den entsprechenden VMs installiert werden. Danach kann die Guest OS
Customization in den Optionen der VMs aktiviert und konfiguriert werden. Es können folgende
Konfiguration der VM geändert werden:
Abbildung 17: Guest OS Customization Optionen
Der Computername und die Netzwerkeinstellungen können im Register General und Hardware
angegeben werden.
TA.BA_BAA+INF.F1201
Seite 19 / 20
Administrationshandbuch
4 Verzeichnisse
4.1 Abbildungsverzeichnis
Abbildung 1: LDAP Benutzer ............................................................................................................... 6
Abbildung 2: vCloud Director Rollen .................................................................................................. 6
Abbildung 3: Internes Netzwerk ....................................................................................................... 11
Abbildung 4: Externes Netzwerk über weitergeleitete Verbindung ................................................ 12
Abbildung 5: Externes Netzwerk über Direkte Verbindung ............................................................. 13
Abbildung 6: vApp Netzwerk mit vShield Edge Device..................................................................... 14
Abbildung 7: Konfigurationsmöglichkeiten für vApp Netzwerke ..................................................... 14
Abbildung 8: Netzwerkzuweisung für VMs ...................................................................................... 15
Abbildung 9: Netzwerk Menu ........................................................................................................... 15
Abbildung 10: LDAP Benutzer ........................................................................................................... 16
Abbildung 11: vApp Templates......................................................................................................... 17
Abbildung 12: Medienkatalog .......................................................................................................... 17
Abbildung 13: Katalogeigenschaften einer Organisation ................................................................. 17
Abbildung 14: Katalog veröffentlichen ............................................................................................. 17
Abbildung 15: Katalogberechtigungen ............................................................................................. 18
Abbildung 16: vApp Template erstellen ........................................................................................... 18
Abbildung 17: Guest OS Customization Optionen............................................................................ 19
4.2 Quellenverzeichnis
Bilder
Abbildung 1-17: VMware vCloud Director Version 1.5, (2012)
Software
VMware vCloud Director Version 1.5
Folgende Beschreibungen stammen von dieser Software und wurden für die Zwecke dieses Dokumentes
angepasst:
Kapitel 3.3: Netzwerk Pools
Kapitel 3.6: Organisationsnetzwerke
Kapitel 3.7: vApp Netzwerke
Kapitel 3.11: Kataloge
TA.BA_BAA+INF.F1201
Seite 20 / 20
Fragenkatalog
VMware vCloud Manager im Enterprise Lab
Autor:
David Copparoni
Modul:
TA.BA_BAA+INF.F1201
TA.BA_BAA+INF.F1201
Horw, 15. Juni 2012
Fragenkatalog
Inhalt
1
Ziel und Zweck ............................................................................................................................ 4
2
Fragen an VMware ..................................................................................................................... 5
2.1
Architektur .......................................................................................................................... 5
2.2
Datenbank .......................................................................................................................... 7
2.3
Ordnerstruktur.................................................................................................................... 7
2.4
Netzwerk ............................................................................................................................. 8
2.5
Datastore ............................................................................................................................ 9
2.6
Provisioning ...................................................................................................................... 10
2.7
Snapshots.......................................................................................................................... 10
2.8
Namensauflösung (DNS) ................................................................................................... 10
2.9
Backup .............................................................................................................................. 11
2.10
Bereitstellung.................................................................................................................... 12
2.11
vCenter Orchestrator ........................................................................................................ 13
2.12
Diverses............................................................................................................................. 13
3
Danksagung .............................................................................................................................. 14
4
Verzeichnisse ............................................................................................................................ 15
4.1
Abbildungsverzeichnis ...................................................................................................... 15
4.2
Quellenverzeichnis............................................................................................................ 15
TA.BA_BAA+INF.F1201
Seite 2 / 15
Fragenkatalog
Versionen
Version
1.0
1.1
1.2
Datum
23.04.2012
27.04.2012
07.06.2012
Autor
David Copparoni
David Copparoni
David Copparoni
Bemerkungen
Dokument erstellt
Antworten eingetragen
Abschluss
Referenzen
Dokument
Aufgabenstellung
Bachelor-Diplomarbeit
TA.BA_BAA+INF.F1201
Version
Datum
25.01.2012
Autor(en)
Roland
Portmann
Bemerkungen
Anforderungen des Kunden
Seite 3 / 15
Fragenkatalog
1 Ziel und Zweck
Während der Evaluation des Edu Clusters traten immer wieder Fragen zu den verschiedenen
VMware Produkten auf. Um diese Fragen zu klären, stellte uns VMware zwei ihrer Experten für
einen Techday zur Verfügung. Der Techday fand am 26.04.2012 statt. In diesem Dokument
werden die Fragen an die Experten und ihre Antworten aufgelistet.
TA.BA_BAA+INF.F1201
Seite 4 / 15
Fragenkatalog
2 Fragen an VMware
2.1 Architektur
Aktuelle Architektur (Stand 26.04.2012):
Abbildung 1: Edu-Cluster Architektur
•
Ist der Aufbau des Edu-Clusters korrekt oder gibt es Bereiche die geändert werden
müssen?
Der Edu-Cluster wurde im gross und ganzen korrekt aufgebaut. Der vShield Manager müsste aber
auf dem Management Cluster laufen und nicht auf dem Resource Cluster. Auf dem Resource
Cluster sollen nur die vCloud Dirctor Workloads für die Kunden laufen. Weil der vShield Manager
für das Management der Netzwerke des vCloud Directors zuständig ist, empfehlen wir den vShield
Manager auf den Management Cluster zu verschieben.
TA.BA_BAA+INF.F1201
Seite 5 / 15
Fragenkatalog
Aktuelles IP-Konzept (Stand 26.04.2012):
Abbildung 2: IP-Adresskonzept
•
Ist das IP-Adresskonzept korrekt oder müssen Änderungen vorgenommen werden?
Weil der vShield Manager (vsm01) für das Management des vCloud Directors zuständig ist, sollte
dieser auch in das Management VLAN verschoben werden. Auch der vCenter Server (vcs01) sollte
in das Management VLAN verschoben werden, da dieser für die Verwaltung der ESXi Server
zuständig ist. Wir empfehlen, dass im Ressource VLAN nur der vCloud Director (vcd01) vorhanden
ist. Dies weil die Kunden über diese IP-Adressen auf ihre Ressourcen zugreifen.
TA.BA_BAA+INF.F1201
Seite 6 / 15
Fragenkatalog
2.2 Datenbank
•
Reicht ein SQL Server für alle VMware Produkte?
Ja, es kann ohne weiteres ein SQL Server für alle VMware Produkte eingesetzt werden.
•
Worauf soll bei der Einrichtung der Datenbank geachtet werden?
o Wie soll der Zugriff auf die Datenbank eingerichtet werden?
o Wo liegt die Grenze der Datenbank (Performance, Grösse)?
Die Datenbank kann gemäss der Installationsanleitung der jeweiligen Produkte eingerichtet
werden. Der Zugriff wird bei jedem Kunden gemäss seinem Berechtigungskonzept eingerichtet. Es
ist aber zu beachten, dass gemäss den Installationsanleitungen immer ein spezieller Account
(vpxuser) eingerichtet wird. Dieser darf nicht entfernt werden, weil dieser Account von den
VMware Produkten benötigt wird. Wer sonst noch auf die Datenbank zugreifen darf, kann jeder
Kunde selber bestimmen.
Die Grenze der Datenbank in Bezug auf Performance und Grösse wird nicht von VMware bestimmt.
Diese hängt viel mehr von der eingesetzten Datenbank ab (Microsoft oder Oracle).
2.3 Ordnerstruktur
•
Ist es sinnvoll eine Ordnerstruktur im Datastore zu erstellen?
Abbildung 3: Datastore eines ESXi Servers
Die Ordnerstruktur im Datastore sollte nicht verändert werden. Eine Anpassung führt eher zu
Problemen.
TA.BA_BAA+INF.F1201
Seite 7 / 15
Fragenkatalog
2.4 Netzwerk
•
Ist es sinnvoll ein Network Distributed Switch (vDS) für die ESXi Server zu konfigurieren
und der lokale Switch zu entfernen (auch in Bezug auf vMotion)?
Auf den ESXi-Server kann sowohl der Standard-Switch wie auch der vDS verwendet werden. Der
Einsatz vom vDS erleichtert die Administration, aber bei dieser Grösse (5 ESXi Server) ist das kaum
ein Argument. Für vMotion ist einfach wichtig, dass ein separates Netzwerk vorhanden ist. Ob
dieses vMotion-Netzwerk an einem Standard Switch oder vDS angeschlossen ist spielt keine Rolle.
Beim vCloud Director empfehlen wird jedoch ein vDS einzusetzten, weil sonst der administrative
Aufwand extrem gross werden kann. Je mehr Clients und Netzwerke auf dem vCloud Director sind,
desto grösser wird der Aufwand.
Zusätzliche Bemerkung:
Wenn 1Gbit Netzwerkkarten verwendet werden, sollte der vMotion Traffic vom Produktiven Traffic
getrennt werden (je eine Netzwerkkarte für vMotion und Produktion). Falls 10Gbit Netzwerkkarten
eingesetzt werden, kann der gesamte Traffic über die gleiche NIC laufen.
•
Bring der Cisco Nexus 1000v Vorteile für ein solches Setup?
Der Cisco Nexus 1000v bietet den Vorteil, dass die Konfiguration des Switches mit Cisco
Kommandos vorgenommen werden kann. Wenn die Mitarbeiter bereits mit Cisco Produkten
arbeiten, finden sie sich mit dem Cisco Nexus 1000v sofort zurecht.
•
Wie können Organisations-Netzwerke auf dem vCloud Director von OrganisationsAdministratoren verwaltet werden?
In der aktuellen Version ist dies nicht möglich. Ab der nächsten Version sollte die Administration
durch Organisations-Administratoren aber möglich sein.
•
Können die externen IP Adressen für die routed-organization netzworks manuell vergeben
werden (nicht über den IP-Pool)?
Die IP Adressen können nur über den IP-Pool des Externen Netzwerkes vergeben werden. Es
besteht aber die Möglichkeit weitere externe IP-Adressen manuell hinzuzufügen.
TA.BA_BAA+INF.F1201
Seite 8 / 15
Fragenkatalog
•
Wozu dienen die Network Pools? / Wie einrichten? / Wie viele ?
Ein Netzwork Pool wird verwendet um den Layer 2 Traffic der verschiedenen Organisationen zu
trennen. Wenn der gleiche Network Pool für alle Organisationen verwendet wird, läuft der
gesamte Traffic im gleichen VLAN. Dies ist ein grosses Sicherheitsrisiko.
Es gibt 3 Möglichkeiten eine Network Pool einzurichten:
VLAN-backed:
Es kann ein Range von VLANs (z.B 10-50) konfiguriert werden, der
dynamisch den Organisationsnetzwerken zugewiesen wird
(ähnlich wie DHCP). Diese Variante wird von VMware empfohlen.
PortGroup-backed:
Der Unterschied zu VLAN-backed besteht darin, dass die VLANs den
Organisationen manuell zugewiesen werden muss. Bei dieser Variant ist
der administrative Aufwand grösser. PortGroup-backed wird dann
eingesetzt, wenn der vCloud Director nur ein Standard-Switch und kein
virtual Distributed Switch (vDS besitzt).
Network Isolation:
Diese Variante wird eingesetzt, wenn zu wenig VLANs zur Verfügung
stehen. Der Traffic wird mit Hilfe der Mac-in-Mac Technik getrennt. Somit
kann ein VLAN für alle Organisationen verwendet werden ohne ein
Sicherheitsrisiko einzugehen. Dies wird aber vom VMware nicht
empfohlen.
VMware empfiehlt die VLAN-backed Option zu verwenden und jeder Organisation ein VLAN
zuzuweisen.
2.5 Datastore
•
Gibt es eine Faustregel wann ein bestimmter Datastore (NFS, iSCSI, FC) eingesetzt werden
soll?
Zwischen NFS und iSCSI gibt es keine grossen Unterschiede. Es können also beide eingesetzt
werden. FibreChannel ist zwar schneller, allerdings auch teurer. Es können auch alle drei
gleichzeitig eingesetzt werden. Wenn eine hohe Performance benötigt wird, wird FibreChannel
eingesetzt und sonst NFS und/oder iSCSI.
TA.BA_BAA+INF.F1201
Seite 9 / 15
Fragenkatalog
2.6 Provisioning
•
Soll fast provisioning für die virtual DataCenters aktiviert werden?
Wenn fast provisioning aktiviert wird, dann wird beim Klonen der VMs ein Linked-Clone erstellt.
D.h dass mehrere VMs auf die gleiche „base disk“ zugreiffen. Fast provisioning hat zum Vorteil,
dass Speicherplatz gespart werden kann und Klone viel schneller erstellt sind. Der Nachteil ist
allerdings, dass DRS (Distributed Resource Scheduler) nicht eingesetzt werden kann. Es muss
zudem beachtet werden, dass fast provisioning nur bei einem Cluster von maximal 8 ESXi Server
eingesetzt werden kann.
Für den produktiven Einsatz der VMs, empfiehlt VMware thick provisioning einzusetzen. Für den
Einsatz im education Bereich wird fast provisioning empfohlen.
•
Wie viele VMs können auf der Infrastruktur laufen (gibt es eine Faustregel)?
Hierzu kann keine keine konkrete Aussage gemacht werden. Es gibt zu viele Faktoren die darauf
Einfluss haben.
2.7 Snapshots
•
Sind Snapshots der VMs und vApps im vCloud Director möglich?
Aus Performance Gründen können keine Snapshots auf dem vCloud Director erstellt werden. Als
alternative kann der Katalog einer Organisation verwendet werden. Eine VM oder vApp kann zu
einem gewünschten Zeitpunkt in den Katalog kopiert werden. Somit ist eine Wiederherstellung
jederzeit möglich.
2.8 Namensauflösung (DNS)
•
Wo und warum wird die Namensauflösung benötigt?
Die Auflösung der Namen wird von VMware strengstens empfohlen. Es müssen die Namen aller
eingesetzten Produkte aufgelöst werden können. Wenn nur die IP-Adressen verwendet werden,
können unerwartete Fehler auftreten.
TA.BA_BAA+INF.F1201
Seite 10 / 15
Fragenkatalog
2.9 Backup
•
Wie soll das Backup eingerichtet werden?
Es gibt zwei Bereiche die beachtet werden müssen. Erstens müssen alle VMs gesichert werden.
Dafür gibt es viele Produkte die eingesetzt werden können. Zusätzlich muss ein Backup der
Konfigurationen gemacht werden. Alle Konfigurationen befinden sich in der Datenbank. VMware
empfiehlt für die Datenbank eine Backpvariante mit einem möglichst kleinen RPO (Recovery Point
Objective).
Im Moment gibt es noch kein Produkte der den gesamten vCloud Director (VMs, Konfiguration)
backupen kann. Diverse Hersteller arbeiten aber daran.
•
Wie sieht ein Restore aus (auf die Datenbank bezogen)?
Sobald die Datenbank wieder hergestellt ist, können sich die entsprechenen VMware Produkte (z.B
vCloud Director oder vCenter Server) wieder mit der Datenbank verbinden und weiterarbeiten. Bei
Datenverlust können Inkonsistenzen entstehen.
•
Was passiert wenn die DB defekt ist und kein Backup vorhanden ist (Worst Case)?
Wenn die gesamte Konfiguration nicht mehr vorhanden ist, müssen sämtliche Produkte welche auf
die Datenbank zugreifen neu konfiguriert werden. Für den vCloud Director würde dies bedeuten,
dass alle Organisationen, Netzwerke, Berechtigungen,… neu erstellt werden müssen. Die VMs sind
zwar physikalisch noch vorhanden, müssen aber wieder importiert und konfiguriert werden.
•
Was passiert genau bei einem ESXi-Serverausfall?
Auf dem vCenter Server wird standardmässig HA (High Availability) verwendet. Damit wird
sichergestellt, dass bei einem ESXi-Serverausfall die betroffenen VMs auf einen anderen Server
verschoben werden. Wenn allerdings der Datastore ausfällt, sind alle VMs weg.
TA.BA_BAA+INF.F1201
Seite 11 / 15
Fragenkatalog
2.10 Bereitstellung
•
Können 20 vApps gleichzeitig geklont werden und alle Information wie IP, Netzwerk,
Hostname, Beschreibung per Script automatisch definiert werden?
Beispiel :
Für eine Klasse sollen 20 vApps bereitgestellt werden. Jede vApp besteht aus einem
Windows und einem Linux Client. Die vApp soll so geklont werden, dass danach die
Hostnamen aufsteigend nummeriert sind:
Windows-PC1, Windows-PC2, Windows-PC3, …
Linux-PC1, Linux-PC2, Linux-PC3, …
Auch die IP-Adresse und das Netzwerk sollen automatisch konfiguriert werden.
Dieses Szenario kann mit dem vOrchestrator gelöst werden. Allerdings ist der Aufwand um diese
Aufgabe in einem einzigen Workflow zu lösen sehr gross. Es sollten daher mehrere Workflows
erstellt werden.
Das Szenaio kann aber auch im vCloud Director gelöst werden. Es kann eine vApp erstellt und
konfiguriert werden. Danach kann diese vApp beliebig oft geklont werden. Die Namen und
Netzwerke der VMs müssen aber beim Klonen manuell eingegeben werden. Damit die Namen und
SIDs geändert werden muss die Guest Customization in den Optionen der VMs aktiviert und die
VMware-Tool installiert sein.
•
Gibt es eine Möglichkeit, dass alle vApps den gleichen IP-Adressraum benützen können?
Es kann für jede vApp eine eigene Organisation erstellt werden. Dies ist aber aufwändig. Eine
andere Möglichkeit konnte nicht gefunden werden.
TA.BA_BAA+INF.F1201
Seite 12 / 15
Fragenkatalog
2.11 vCenter Orchestrator
•
Wo liegt der Einsatzbereich des vCenter Orchestrators?
Der vCenter Orchestrator wird vor allem für tägliche Routine-Arbeiten verwendet.
•
Lohnt es sich den vOrchestrator für Aufgaben einzusetzen, die nur einmal im Jahr
durchgeführt werden?
Dazu kann keine konkrete Aussage gemacht werden. Das Verhältnis zwischen Aufwand und Ertrag
muss einfach stimmen. Es kann z.B geprüft werden wie viel Zeit es braucht um einen Workflow zu
erstellen. Danach kann entschieden werden, ob die jeweilige Arbeit weiterhin manuell
durchgeführt wird oder ob der vCenter Orchestrator eingesetzt werden soll.
2.12 Diverses
•
Kann VDI im vCD integriert werden?
Nein, das würde keinen Sinn machen.
•
Wie kann am einfachsten auf ein lokales USB Device zugegriffen werden?
Mit den VMware Bordmitteln kann nicht auf ein USB Device zugegriffen werden. Dafür müsste
man RDP oder ähnliches verwenden.
TA.BA_BAA+INF.F1201
Seite 13 / 15
Fragenkatalog
3 Danksagung
Wir bedanken uns bei VMware und den beiden Experten für den spannenden und informativen
Techday. Es konnten alle Fragen geklärt werden. Zudem konnten wir alle vom Wissen der
Experten profitieren. Dank ihren Informationen wissen wir jetzt, wie der Edu Cluster korrekt
aufgebaut werden muss. Damit konnte eine gute Ausgangslage für einen produktiven Einsatz des
Edu Clusters geschaffen werden.
VMware Experten:
Ivan Lagler
Marc Jehli
Systems Engineer
Territory Partner Business Manager
TA.BA_BAA+INF.F1201
Seite 14 / 15
Fragenkatalog
4 Verzeichnisse
4.1 Abbildungsverzeichnis
Abbildung 1: Edu-Cluster Architektur ................................................................................................. 5
Abbildung 2: IP-Adresskonzept........................................................................................................... 6
Abbildung 3: Datastore eines ESXi Servers ......................................................................................... 7
4.2 Quellenverzeichnis
Bilder
Abbildung 1-2:
Abbildung 3:
David Copparoni, (2012)
VMware vCenter Server Version 5.0
TA.BA_BAA+INF.F1201
Seite 15 / 15
Testplan
VMware vCloud Manager im Enterprise Lab
Autor:
David Copparoni
Modul:
TA.BA_BAA+INF.F1201
TA.BA_BAA+INF.F1201
Horw, 15. Juni 2012
Testplan
Inhalt
1
Ziel und Zweck ............................................................................................................................ 4
2
Testfälle ...................................................................................................................................... 5
3
2.1
Active Directory Authentisierung ....................................................................................... 5
2.2
Ressourcenzugriff über das Schulnetz ................................................................................ 6
2.3
Ressourcenzugriff über VPN ............................................................................................... 7
2.4
Ressourcenzugriff über SSH und RDP ................................................................................. 8
2.5
Ressourcenzugriff über das Internet .................................................................................. 9
2.6
Backup der Datenbank ..................................................................................................... 10
2.7
Datenbankausfall .............................................................................................................. 11
2.8
Ressourcen Management ................................................................................................. 12
2.9
DNS Auflösung .................................................................................................................. 13
2.10
Einschränkung der Ressourcen ......................................................................................... 14
2.11
INFSEC OS-Security Versuch ............................................................................................. 15
2.12
Performance Tests ............................................................................................................ 18
2.12.1
Performance-Test 1 .................................................................................................. 18
2.12.2
Performance-Test 2 .................................................................................................. 19
2.12.3
Performance-Test 3 .................................................................................................. 20
2.12.4
Performance-Test 4 .................................................................................................. 21
2.13
Linked Clones .................................................................................................................... 22
2.14
Usability ............................................................................................................................ 23
Verzeichnisse ............................................................................................................................ 24
3.1
Abbildungsverzeichnis ...................................................................................................... 24
3.2
Quellenverzeichnis............................................................................................................ 24
TA.BA_BAA+INF.F1201
Seite 2 / 24
Testplan
Versionen
Version
1.0
1.1
1.2
Datum
30.04.2012
21.05.2012
07.06.2012
Autor
David Copparoni
David Copparoni
David Copparoni
Bemerkungen
Dokument erstellt
Testfälle ergänzt
Abschluss
Referenzen
Dokument
Aufgabenstellung
Bachelor-Diplomarbeit
Kundenanforderungen
Version
Datum
25.01.2012
1.5
07.06.2012
Konzept Edu Cluster
1.5
07.06.2012
TA.BA_BAA+INF.F1201
Autor(en)
Roland
Portmann
David
Copparoni
David
Copparoni
Bemerkungen
Anforderungen des Kunden
Seite 3 / 24
Testplan
1 Ziel und Zweck
In diesem Dokument wird das Testvorgehen definiert und alle nötigen Informationen zu den
einzelnen Testfällen angegeben. Die verschiedenen Testfälle sollen vor allem die Funktionalität
des Edu Clusters sicherstellen. Es werden aber auch Performance Tests durchgeführt. Die Testfälle
wurden anhand der Kundenanforderungen erstellt. Die verschiedenen Testfälle können nicht
automatisiert werden und müssen deshalb manuell von einer Person durchgeführt werden. Auch
die Testresultate können nicht automatisch überprüft werden und müssen deshalb genau
analysiert werden. Das vorliegende Dokument dient als Grundlage für das anschliessende Testing
und Testprotokoll.
TA.BA_BAA+INF.F1201
Seite 4 / 24
Testplan
2 Testfälle
2.1 Active Directory Authentisierung
Nr. 01
Active Directory Authentisierung
Beschreibung
Die Benutzer müssen sich mit ihren Active Directory Account vom
Enterprise Lab am vCloud Director anmelden können. Das Login soll über
das Webinterface erfolgen.
Voraussetzung
•
•
•
•
Active Directory Zugriff ist auf dem vCD konfiguriert
Ressourcen für die Benutzer sind auf dem vCD erstellt
Berechtigungen für den Zugriff sind gegeben
URL für den Webzugriff ist bekannt
Erwarteter Ablauf
•
•
Benutzer greifen über die URL auf das Webinterface zu
Benutzer loggen sich mit Ihrem Account ein
Erwartetes Ergebnis
•
Benutzer haben Zugriff auf ihre Ressourcen
Hinweise
TA.BA_BAA+INF.F1201
-
Seite 5 / 24
Testplan
2.2 Ressourcenzugriff über das Schulnetz
Nr. 02
Ressourcenzugriff über das Schulnetz
Beschreibung
Die Benutzer müssen über das Schulnetzt auf ihre Ressourcen zugreifen
können.
Voraussetzung
•
•
•
•
Ressourcen für die Benutzer sind auf dem vCD erstellt
Berechtigungen für den Zugriff sind gegeben
URL für den Webzugriff ist bekannt
Benutzer befinden sich im Schulnetz
Erwarteter Ablauf
•
•
Benutzer greifen über die URL auf das Webinterface zu
Benutzer loggen sich mit Ihrem Account ein
Erwartetes Ergebnis
•
Benutzer haben Zugriff auf ihre Ressourcen
Hinweise
TA.BA_BAA+INF.F1201
-
Seite 6 / 24
Testplan
2.3 Ressourcenzugriff über VPN
Nr. 03
Ressourcenzugriff über VPN
Beschreibung
Die Benutzer müssen von extern über VPN auf ihre Ressourcen zugreifen
können.
Voraussetzung
•
•
•
•
•
Ressourcen für die Benutzer sind auf dem vCD erstellt
Berechtigungen für den Zugriff sind gegeben
URL für den Webzugriff ist bekannt
Benutzer befinden ausserhalb des Schulnetzes
Benutzer verfügen über einen VPN Zugang
Erwarteter Ablauf
•
•
•
Benutzer stellen eine VPN Verbindung zur Schule her
Benutzer greifen über die URL auf das Webinterface zu
Benutzer loggen sich mit Ihrem Account ein
Erwartetes Ergebnis
•
Benutzer haben Zugriff auf ihre Ressourcen
Hinweise
TA.BA_BAA+INF.F1201
-
Seite 7 / 24
Testplan
2.4 Ressourcenzugriff über SSH und RDP
Nr. 04
Ressourcenzugriff über SSH und RDP
Beschreibung
Die Benutzer müssen per SSH oder RDP auf ihre virtuellen Linux und
Windows Maschinen zugreifen können.
Voraussetzung
•
•
•
•
Ressourcen für die Benutzer sind auf dem vCD erstellt
VMs verfügen über eine externe IP (Enterprise Lab)
SSH und RDP ist auf den VMs konfiguriert (inkl. Firewall)
vShield Edge Device ist korrekt konfiguriert
Erwarteter Ablauf
•
•
Benutzer greifen über SSH auf ihre Linux Maschine zu
Benutzer greifen über RDP auf ihre Windows Maschine zu
Erwartetes Ergebnis
•
Benutzer haben Zugriff auf ihre Ressourcen
Hinweise
TA.BA_BAA+INF.F1201
-
Seite 8 / 24
Testplan
2.5 Ressourcenzugriff über das Internet
Nr. 05
Ressourcenzugriff über das Internet
Beschreibung
Die Benutzer müssen vom Internet direkt auf ihre Ressourcen zugreifen
können, ohne eine VPN Verbindung herstellen zu müssen.
Voraussetzung
•
•
•
•
•
•
•
Ressourcen für die Benutzer sind auf dem vCD erstellt
Berechtigungen für den Zugriff sind gegeben
VM verfügt über eine externe IP (Internet)
RDP ist auf der VM konfiguriert (inkl. Firewall)
vShield Edge Device ist korrekt konfiguriert
Enterprise Lab Firewall ist korrekt konfiguriert
Benutzer befinden ausserhalb des Schulnetzes
Erwarteter Ablauf
•
Benutzer stellen über das Internet eine RDP Verbindung zum
Windows Client her
Erwartetes Ergebnis
•
Benutzer kann über das Internet auf den Windows Client
zugreifen
Hinweise
Es wurde folgendes Testszenario gewählt:
•
TA.BA_BAA+INF.F1201
RDP Verbindung auf einen Windows Client
Seite 9 / 24
Testplan
2.6 Backup der Datenbank
Nr. 06
Backup der Datenbank
Beschreibung
Das Backup der Datenbank muss automatisiert sein. Es soll täglich ein
differentielles Backup durchgeführt werden.
Voraussetzung
•
Microsoft SQL Server 2008 ist installiert
Datenbanken sind erstellt
Die Konfigurationen der VMware Produkte werden in der
Datenbank gespeichert
Inkrementelles Backup ist eingerichtet
Erwarteter Ablauf
•
•
Es wird täglich ein Backup durchgeführt
Backups werden am definierten Ort abgelegt
Erwartetes Ergebnis
•
Tägliche Backups sind am definierten Ort vorhanden
Hinweise
•
•
•
Zusammen mit dem Enterprise Lab Team wurde entschieden, ein
inkrementelles Backup durchzuführen.
Der Test wird über einen Zeitraum von einer Woche durchgeführt
TA.BA_BAA+INF.F1201
Seite 10 / 24
Testplan
2.7 Datenbankausfall
Nr. 07
Datenbankausfall
Beschreibung
Es wird getestet, was passiert wenn die Datenbank ausfällt und kein
Backup vorhanden ist.
Voraussetzung
•
•
Datenbank ist konfiguriert
vCloud Director speichert Konfiguration in der Datenbank
Erwarteter Ablauf
•
•
Datenbank wird gelöscht
vCloud Director wird gestartet und die Konfigurationen
überprüft
Erwartetes Ergebnis
Es gibt kein erwartetes Ergebnis, weil noch keine Erfahrungswerte
vorhanden sind.
Hinweise
-
TA.BA_BAA+INF.F1201
Seite 11 / 24
Testplan
2.8 Ressourcen Management
Nr. 08
Ressourcen Management
Beschreibung
Alle über den vCloud Director erstellen virtuellen Maschinen, müssen
gleichmässig auf die vier ESXi Server vom Resource Cluster verteilt
werden. Die gleichmässige Aufteilung muss von den VMware Produkten
übernommen werden.
Voraussetzung
•
•
•
DRS ist auf dem Resource Cluster aktiviert
DRS ist auf „Fully automatied“ gesetzt
Ressource Cluster ist im vCloud Director eingebunden
Erwarteter Ablauf
•
•
•
Es werden mehrere VMs erstellt
VMs werden gleichmässig auf die vier ESXi Server verteilt
Gleichmässige Verteilung erfolgt automatisch
Erwartetes Ergebnis
•
VMs sind gleichmässig auf die vier ESXi Server verteilt
Hinweise
„VMware Distributed Resource Scheduler (DRS) ermöglicht einen
dynamischen Ausgleich der Computing-Kapazitäten für
Hardwareressourcen, die in logischen Ressourcenpools zusammengefasst
sind. Dabei überwacht VMware DRS kontinuierlich die Auslastung dieser
Pools und sorgt für eine intelligente Zuweisung der verfügbaren
Ressourcen zu den virtuellen Maschinen.“
(VMware, DRS Datasheet, 2012, S. 01)
TA.BA_BAA+INF.F1201
Seite 12 / 24
Testplan
2.9 DNS Auflösung
Nr. 09
DNS Auflösung
Beschreibung
Folgende Server müssen per FQDN erreichbar sein:
•
•
•
•
•
•
•
•
•
•
•
s0006.mngt.vm.el.campus.intern
s0007.mngt.vm.el.campus.intern
s0008.mngt.vm.el.campus.intern
s0009.mngt.vm.el.campus.intern
s0010.mngt.vm.el.campus.intern
vsm01.vm.el.campus.intern
vdb01.vm.el.campus.intern
vcs02.vm.el.campus.intern
vcs01.vm.el.campus.intern
vco01.vm.el.campus.intern
vcd01.vm.el.campus.intern
Voraussetzung
•
•
Server haben die korrekte IP Adresse
DNS Einträge sind korrekt erstellt
Erwarteter Ablauf
•
•
DNS Lookup wird für alle Server ausgeführt
Namen werden vom DNS aufgelöst
Erwartetes Ergebnis
•
Namen der Server werden korrekt vom DNS aufgelöst
Hinweise
TA.BA_BAA+INF.F1201
-
Seite 13 / 24
Testplan
2.10 Einschränkung der Ressourcen
Nr. 10
Einschränkung der Ressourcen
Beschreibung
Die Benutzer dürfen nicht beliebig viele Ressourcen verbrauchen. Die
Ressourcen der Benutzer müssen eingeschränkt werden können.
Voraussetzung
•
Organisation für die Benutzer ist im vCloud Director erstellt
Erwarteter Ablauf
•
•
•
•
Ein neues virtuelles Datacenter wird erstellt
Als Allocation Model wird „Allocation Pool“ ausgewählt
Ressourcen werden eingeschränkt
Benutzer greifen über die URL auf das Webinterface zu
Erwartetes Ergebnis
•
Die Benutzer können nur die ihnen zugewiesenen Ressourcen
verbrauchen
Hinweise
TA.BA_BAA+INF.F1201
-
Seite 14 / 24
Testplan
2.11 INFSEC OS-Security Versuch
Nr. 11
INFSEC OS-Security Versuch
Beschreibung
Im Modul IT-Security werden jedes Jahr verschiedene Versuche
durchgeführt. Einer dieser Versuche beschäftigt sich mit der
Betriebssystem-Sicherheit (OS-Versuch). Dazu werden jeder
Studentengruppe je ein Windows und ein Linux Client zur Verfügung
gestellt. Der Versuch soll neu auf dem vCloud Director durchgeführt
werden.
IST-Zustand
Alle Virtuellen Maschinen für den OS-Versuch sind auf dem Enterprise
Lab Cluster. Jede VM hat eine IP Adresse vom Enterprise Lab auf welche
die Studenten aus dem Schulnetzwerk zugreifen können. Die IP Adressen
sind aus dem gleichen Subnetz. Somit können alle Clients miteinander
kommunizieren. Die Studenten können per SSH oder RDP auf ihre
Systeme zugreifen. Während dem Versuch werden die Windows
Maschinen in das Active Directory Verzeichnis vom Enterprise Lab
integriert. Die Linux Clients müssen lediglich darauf zugreifen können.
Abbildung 1: IST-Zustand INFSEC Versuch
TA.BA_BAA+INF.F1201
Seite 15 / 24
Testplan
SOLL Zustand
Mit Hilfe des vCloud Directors soll erreicht werden, dass die Clients der
Studentengruppen voneinander abgeschottet sind. Dies soll durch den
Einsatz einer Firewall erreicht werden. Die Firewall muss von den
Studenten konfiguriert werden können, damit diese den RDP und SSH
Zugang selber einrichten können. Zudem sollen die Windows und Linux
Maschinen jeder Gruppe die gleichen IP Adressen haben. Damit soll
erreicht werden, dass die Versuchsdokumentation nicht für jede
Studentengruppe angepasst werden muss. Weil die Windows Clients ins
Active Directory integriert werden, müssen diese verschiedene
Hostnamen haben.
Abbildung 2: SOLL-Zustand INFSEC Versuch
Der Versuch OS-Security vom Modul INFSEC muss vollständig
durchgeführt werden können. Der Versuch ist im Dokument
„OSSecurity_Versuch.pdf“ beschrieben. Der Test wird von zwei
Studentengruppen durchgeführt.
TA.BA_BAA+INF.F1201
Seite 16 / 24
Testplan
Voraussetzung
•
•
•
•
•
•
•
Ressourcen für die Studenten sind auf dem vCD erstellt
Berechtigungen für den Zugriff sind gegeben
URL für den Webzugriff ist bekannt
Linux und Windows Client sind korrekt installiert
Netzwerk ist korrekt konfiguriert
Zugriff auf den INFSEC Active Directory Server ist eingerichtet
RDP und SSH Zugriff ist eingerichtet
Erwarteter Ablauf
•
•
Studenten greifen auf ihre Ressourcen zu
Studenten führen den Versuch gemäss dem Dokument
„OSSecurity_Versuch.pdf“ durch
Erwartetes Ergebnis
•
Die Studenten können die OS-Security Versuch erfolgreich
durchführen
Hinweise
TA.BA_BAA+INF.F1201
-
Seite 17 / 24
Testplan
2.12 Performance Tests
Bei den Performance Tests soll der Ressourcenverbrauch der virtuellen Maschinen überprüft
werden. Es wird der Verbrauch von CPU, RAM und Datastore getestet. Lastentests werden keine
durchgeführt, weil Zustände simuliert werden müssen, wie sie im produktiven Einsatz
vorkommen. Der Aufwand dafür ist zu gross.
2.12.1 Performance-Test 1
Nr. 12
Performance-Test 1
Beschreibung
Es wird getestet, wie viele Ressourcen (CPU, RAM, Datastore) mit linked
Clones verbraucht werden. Zudem soll gemessen werden wie lange es
dauert die Clones zu erstellen. Für die Festplatten der VMs wird die
Option „thin provisioning“ verwendet.
Der Test wird mit folgenden VMs durchgeführt:
•
•
5x Windows 7 Enterprise
5x RedHat Linux 5.6 Enterprise
Voraussetzung
•
•
•
•
Windows 7 Template erstellt
RedHat Linux 5.6 Template erstellt
Organisation erstellt und „fast provisioning“ aktiviert
Organisation erstellt und „thin provisioning“ aktiviert
Erwarteter Ablauf
•
•
•
Windows 7 wird fünfmal geklont
RedHat Linux 5.6 wird fünfmal geklont
Zeit für das klonen wird gemessen
Erwartetes Ergebnis
Hinweise
Fast provisioning ermöglicht das Erstellen von linked Clones innerhalb
einer Organisation.
Mit thin provisioning wird erreicht, dass nicht der gesamte Speicherplatz
auf dem Datastore reserviert wird.
Es gibt kein erwartetes Ergebnis, weil noch keine Erfahrungswerte
vorhanden sind.
TA.BA_BAA+INF.F1201
Seite 18 / 24
Testplan
2.12.2 Performance-Test 2
Nr. 13
Performance-Test 2
Beschreibung
Es wird getestet, wie viele Ressourcen (CPU, RAM, Datastore) mit linked
Clones verbraucht werden. Zudem soll gemessen werden wie lange es
dauert die Clones zu erstellen. Für die Festplatten der VMs wird die
Option „thin provisioning“ verwendet.
Der Test wird mit folgenden VMs durchgeführt:
•
•
5x Windows 7 Enterprise
5x Windows Server 2008 R2
Voraussetzung
•
•
•
•
Windows 7 Template erstellt
Windows Server 2008 R2 Template erstellt
Organisation erstellt und „fast provisioning“ aktiviert
Organisation erstellt und „thin provisioning“ aktiviert
Erwarteter Ablauf
•
•
•
Windows 7 wird fünfmal geklont
Windows Server 2008 R2 wird fünfmal geklont
Zeit für das klonen wird gemessen
Erwartetes Ergebnis
Hinweise
Fast provisioning ermöglicht das Erstellen von linked Clones innerhalb
einer Organisation.
Mit thin provisioning wird erreicht, dass nicht der gesamte Speicherplatz
auf dem Datastore reserviert wird.
Es gibt kein erwartetes Ergebnis, weil noch keine Erfahrungswerte
vorhanden sind.
TA.BA_BAA+INF.F1201
Seite 19 / 24
Testplan
2.12.3 Performance-Test 3
Nr. 14
Performance-Test 3
Beschreibung
Es wird getestet, wie viele Ressourcen (CPU, RAM, Datastore) mit linked
Clones verbraucht werden. Zudem soll gemessen werden wie lange es
dauert die Clones zu erstellen. Für die Festplatten der VMs wird die
Option „thin provisioning“ verwendet.
Der Test wird mit folgenden VMs durchgeführt:
•
10x Windows 7 Enterprise
Voraussetzung
•
•
•
Windows 7 Template erstellt
Organisation erstellt und „fast provisioning“ aktiviert
Organisation erstellt und „thin provisioning“ aktiviert
Erwarteter Ablauf
•
•
Windows 7 wird zehnmal geklont
Zeit für das klonen wird gemessen
Erwartetes Ergebnis
Hinweise
Fast provisioning ermöglicht das Erstellen von linked Clones innerhalb
einer Organisation.
Mit thin provisioning wird erreicht, dass nicht der gesamte Speicherplatz
auf dem Datastore reserviert wird.
Es gibt kein erwartetes Ergebnis, weil noch keine Erfahrungswerte
vorhanden sind.
TA.BA_BAA+INF.F1201
Seite 20 / 24
Testplan
2.12.4 Performance-Test 4
Nr. 15
Performance-Test 4
Beschreibung
Es wird getestet, wie viele Ressourcen (CPU, RAM, Datastore) mit full
Clones verbraucht werden. Zudem soll gemessen werden wie lange es
dauert die Clones zu erstellen. Für die Festplatten der VMs wird die
Option „thin provisioning“ verwendet.
Der Test wird mit folgenden VMs durchgeführt:
•
5x Windows 7 Enterprise
Voraussetzung
•
•
•
Windows 7 Template erstellt
Organisation erstellt und „fast provisioning“ deaktiviert
Organisation erstellt und „thin provisioning“ aktiviert
Erwarteter Ablauf
•
•
Windows 7 wird zehnmal geklont
Zeit für das klonen wird gemessen
Erwartetes Ergebnis
Hinweise
Fast provisioning ermöglicht das Erstellen von linked Clones innerhalb
einer Organisation.
Mit thin provisioning wird erreicht, dass nicht der gesamte Speicherplatz
auf dem Datastore reserviert wird.
Es gibt kein erwartetes Ergebnis, weil noch keine Erfahrungswerte
vorhanden sind.
Es werden nur fünf VMs geklont, weil angenommen wird, dass das
Klonen der VMs viel länger dauern wird.
TA.BA_BAA+INF.F1201
Seite 21 / 24
Testplan
2.13 Linked Clones
Nr. 16
Linked Clones
Beschreibung
Es wird getestet, was passiert wenn linked Clones in Betrieb sind und das
„Master-Template“ gelöscht wird. Der Test wird mit einer RedHat Linux
5.6 Enterprise VM durchgeführt.
Voraussetzung
•
•
•
RedHat Linux Master-Template erstellt
Organisation erstellt und „fast provisioning“ aktiviert
Organisation erstellt und „thin provisioning“ aktiviert
Erwarteter Ablauf
•
•
RedHat Linux wird zweimal geklont
RedHat Linux Master-Template wird gelöscht
Erwartetes Ergebnis
Es gibt kein erwartetes Ergebnis, weil noch keine Erfahrungswerte
vorhanden sind.
Hinweise
-
TA.BA_BAA+INF.F1201
Seite 22 / 24
Testplan
2.14 Usability
Nr. 17
Usability
Beschreibung
Es wird ein Usability Test durchgeführt. Für den Usability Test stellt sich
das Institut für Wirtschaftsinformatik (IWI) der Hochschule Luzern zur
Verfügung. Der Test wird von Herrn Jörg Ochsner durchgeführt.
Voraussetzung
•
•
•
Der Edu Cluster ist fertig aufgebaut und betriebsbereit
Herr Ochsner hat einen Enterprise Lab Account
Eine Organisation für das IWI ist auf dem vCloud Director erstellt
Erwarteter Ablauf
•
Herr Ochsner arbeitet einen Monat lang mit dem vCloud Director
Erwartetes Ergebnis
Nach einen Monat gibt Herr Ochsner eine Rückmeldung über den vCloud
Director.
Hinweise
-
TA.BA_BAA+INF.F1201
Seite 23 / 24
Testplan
3 Verzeichnisse
3.1 Abbildungsverzeichnis
Abbildung 1: IST-Zustand INFSEC Versuch........................................................................................ 15
Abbildung 2: SOLL-Zustand INFSEC Versuch..................................................................................... 16
3.2 Quellenverzeichnis
Internet
http://www.vmware.com/files/de/pdf/drs_datasheet_de.pdf (30.04.2012)
Bilder
Abbildung 1-2:
David Copparoni, (2012)
TA.BA_BAA+INF.F1201
Seite 24 / 24
Testprotokoll
VMware vCloud Manager im Enterprise Lab
Autor:
David Copparoni
Modul:
TA.BA_BAA+INF.F1201
TA.BA_BAA+INF.F1201
Horw, 15. Juni 2012
Testprotokoll
Inhalt
1
Ziel und Zweck ............................................................................................................................ 4
2
Testing ........................................................................................................................................ 5
2.1
Active Directory Authentisierung ....................................................................................... 5
2.2
Ressourcenzugriff über das Schulnetz ................................................................................ 7
2.3
Ressourcenzugriff über VPN ............................................................................................... 8
2.4
Ressourcenzugriff über SSH und RDP ................................................................................. 9
2.5
Ressourcenzugriff über das Internet ................................................................................ 10
2.6
Backup der Datenbank ..................................................................................................... 11
2.7
Datenbankausfall .............................................................................................................. 12
2.8
Ressourcen Management ................................................................................................. 13
2.9
DNS Auflösung .................................................................................................................. 14
2.10
Einschränkung der Ressourcen ......................................................................................... 15
2.11
INFSEC OS-Security Versuch ............................................................................................. 17
2.12
Performance Tests ............................................................................................................ 21
2.12.1
Performance-Test 1 .................................................................................................. 21
2.12.2
Performance-Test 2 .................................................................................................. 23
2.12.3
Performance-Test 3 .................................................................................................. 25
2.12.4
Test 14: Ressourcenverbrauch 4............................................................................... 27
2.13
Linked Clones .................................................................................................................... 29
2.14
Usability ............................................................................................................................ 31
TA.BA_BAA+INF.F1201
Seite 2 / 32
Testprotokoll
Versionen
Version
1.0
1.1
1.2
Datum
30.04.2012
21.05.2012
07.06.2012
Autor
David Copparoni
David Copparoni
David Copparoni
Bemerkungen
Dokument erstellt
Tests ergänzt
Abschluss
Referenzen
Dokument
Testplan
TA.BA_BAA+INF.F1201
Version
1.2
Datum
07.06.2012
Autor(en)
David
Copparoni
Bemerkungen
Seite 3 / 32
Testprotokoll
1 Ziel und Zweck
In diesem Testprotokoll werden alle Tests protokolliert, die im Rahmen der Projektarbeit
„VMware vCloud Manager im Enterprise Lab“ durchgeführt wurden. Grundlage für dieses
Dokument ist der Testplan. Die definierten Kriterien und der Ablauf der Test können in Testplan
nachgeschlagen werden. Dieses Dokument enthält lediglich die Resultate der durchgeführten
Tests. Für das Testing wurde keine separate Testumgebung aufgebaut. Alle Tests wurden auf dem
Edu Cluster durchgeführt.
TA.BA_BAA+INF.F1201
Seite 4 / 32
Testprotokoll
2 Testing
2.1 Active Directory Authentisierung
Teststatus
Tester
Datum
Abgeschlossen
David Copparoni
30.04.2012
Nr. 01
Active Directory Authentisierung
Beschreibung
Die Benutzer müssen sich mit ihren Active Directory Account vom
Enterprise Lab am vCloud Director anmelden können. Das Login soll über
das Webinterface erfolgen.
Konfiguration
Es wurde eine Organisation „INFSEC-1“ auf dem vCloud Director erstellt.
Danach wurde der Active Directory Benutzer „tacoppar“ als vApp User
der Organisation INFSEC-1 hinzugefügt.
Das Login erfolgt über folgende URL:
•
https://10.29.64.2/cloud/org/INFSEC-1/
Der Benutzer kann sich über das Webinterface am vCloud Director
anmelden und auf seine Ressourcen zugreifen.
TA.BA_BAA+INF.F1201
Seite 5 / 32
Testprotokoll
Ergebnis
Der Active Directory Benutzer „tacoppar“ ist eingeloggt und kann auf
seine Ressourcen zugreifen.
Bemerkungen
Gesamtergebnis
-
TA.BA_BAA+INF.F1201
Seite 6 / 32
Testprotokoll
2.2 Ressourcenzugriff über das Schulnetz
Teststatus
Tester
Datum
Abgeschlossen
David Copparoni
30.04.2012
Nr. 02
Ressourcenzugriff über das Schulnetz
Beschreibung
Die Benutzer müssen über das Schulnetzt auf ihre Ressourcen zugreifen
können.
Konfiguration
Es wurde eine Organisation „INFSEC-1“ auf dem vCloud Director erstellt,
in der die Ressourcen für die Benutzer zur Verfügung stehen. Auf die
Ressourcen kann über folgende URL zugegriffen werden:
•
https://10.29.64.2/cloud/org/INFSEC-1/
Auf die Ressourcen wurde von einem Windows 7 Client zugegriffen. Als
Browser kamen Internet Explorer 9 und Firefox 12 zum Einsatz.
Ergebnis
Der Benutzer ist eingeloggt und kann auf seine Ressourcen zugreifen.
Bemerkungen
Gesamtergebnis
-
TA.BA_BAA+INF.F1201
Seite 7 / 32
Testprotokoll
2.3 Ressourcenzugriff über VPN
Teststatus
Tester
Datum
Abgeschlossen
David Copparoni
30.04.2012
Nr. 03
Ressourcenzugriff über VPN
Beschreibung
Die Benutzer müssen von extern über VPN auf ihre Ressourcen zugreifen
können.
Konfiguration
Es wurde eine Organisation „INFSEC-1“ auf dem vCloud Director erstellt,
in der die Ressourcen für die Benutzer zur Verfügung stehen. Auf die
Ressourcen kann über folgende URL zugegriffen werden:
•
https://10.29.64.2/cloud/org/INFSEC-1/
Die Benutzer verfügen über einen VPN Zugang mit dem sie sich am
Schulnetz anmelden können.
Auf die Ressourcen wurde von einem Windows 7 Client zugegriffen. Als
Browser kamen Internet Explorer 9 und Firefox 12 zum Einsatz.
Ergebnis
Der Benutzer hat eine VPN Verbindung hergestellt und kann auf seine
Ressourcen zugreifen.
Bemerkungen
Gesamtergebnis
-
TA.BA_BAA+INF.F1201
Seite 8 / 32
Testprotokoll
2.4 Ressourcenzugriff über SSH und RDP
Teststatus
Tester
Datum
Abgeschlossen
David Copparoni
30.04.2012
Nr. 04
Ressourcenzugriff über SSH und RDP
Beschreibung
Die Benutzer müssen per SSH oder RDP auf ihre virtuellen Linux und
Windows Maschinen zugreifen können.
Konfiguration
Es wurde eine Organisation „INFSEC-1“ auf dem vCloud Director erstellt,
in der sich eine Windows 7 und eine Fedora Linux Maschine befinden.
Auf der Windows VM wurde RDP und auf der Linux VM SSH aktiviert.
•
•
Windows 7 = 192.168.0.100
Fedora Linux = 192.168.0.101
Die Netzwerkkonfiguration sieht folgendermassen aus:
vShield Edge Konfiguration:
•
•
•
•
Ergebnis
Bemerkungen
Gesamtergebnis
TA.BA_BAA+INF.F1201
Router external IP = 10.29.64.50
Port forwarding = RDP 192.168.0.100
Port forwarding = SSH 192.168.0.101
Firewall = RDP and SSH open
RDP Zugriff auf die Windows VM ist möglich.
SSH Zugriff auf die Linux VM ist möglich.
-
Seite 9 / 32
Testprotokoll
2.5 Ressourcenzugriff über das Internet
Teststatus
Tester
Datum
Abgeschlossen
David Copparoni
24.05.2012
Nr. 05
Ressourcenzugriff über das Internet
Beschreibung
Die Benutzer müssen vom Internet direkt auf ihre Ressourcen zugreifen
können, ohne eine VPN Verbindung herstellen zu müssen.
Konfiguration
Es wurde eine Organisation „INFSEC-1“ auf dem vCloud Director erstellt,
in der sich eine Windows 7 Maschine befindet. Auf der Windows VM
wurde RDP aktiviert.
•
Windows 7 = 192.168.0.100
Die Netzwerkkonfiguration sieht folgendermassen aus:
vShield Edge Konfiguration:
•
•
•
Router external IP = 147.88.212.227
Port forwarding = RDP 192.168.0.100
Firewall = RDP open
Ergebnis
RDP Zugriff auf die Windows VM ist möglich.
Bemerkungen
Als Testszenario wurde eine RDP Verbindung gewählt, weil RDP einfach
und schnell einzurichten ist. Im produktiven Einsatz wird eher eine
Verbindung auf einen WebServer als auf einen Windows Client
hergestellt. Zudem gibt es noch die Möglichkeit eine IP translation
anstelle eines Port forwarding einzurichten.
Gesamtergebnis
TA.BA_BAA+INF.F1201
Seite 10 / 32
Testprotokoll
2.6 Backup der Datenbank
Teststatus
Tester
Datum
Abgeschlossen
David Copparoni
24.05.2012
Nr. 06
Backup der Datenbank
Beschreibung
Das Backup der Datenbank muss automatisiert sein. Es soll täglich ein
differentielles Backup durchgeführt werden.
Konfiguration
Auf dem Datenbankserver wurde ein täglicher Backupjob eingerichtet,
der alle Datenbanken sichert. Das Backup wird Differentiell
durchgeführt.
Ergebnis
Das Backup wurde täglich erfolgreich ausgeführt.
Bemerkungen
Gesamtergebnis
-
TA.BA_BAA+INF.F1201
Seite 11 / 32
Testprotokoll
2.7 Datenbankausfall
Teststatus
Tester
Datum
Abgeschlossen
David Copparoni
05.04.2012
Nr. 07
Datenbankausfall
Beschreibung
Es wird getestet, was passiert wenn die Datenbank ausfällt und kein
Backup vorhanden ist.
Konfiguration
Die Datenbank für den vCloud Director wurde eingerichtet und die
Konfigurationen werden darin abgespeichert.
Danach wurde die Datenbank von vCloud Director gelöscht.
Ergebnis
Der vCloud Director kann nicht gestartet werden, weil keine Datenbank
vorhanden ist. Deshalb wurde die Datenbank neu erstellt.
Nach dem Erstellen der neuen Datenbank erscheint der Setup-Assistent
vom vCloud Director. Der vCloud Director muss also neu konfiguriert
werden. Alle Konfiguration sind verloren.
Die VMs sind aber nach wie vor auf dem vCenter Server vorhanden.
Diese müssen aber wieder in den vCloud Director importiert werden.
Bemerkungen
Es gibt kein erwartetes Ergebnis, weil noch keine Erfahrungswerte
vorhanden sind.
Gesamtergebnis
-
TA.BA_BAA+INF.F1201
Seite 12 / 32
Testprotokoll
2.8 Ressourcen Management
Teststatus
Tester
Datum
Abgeschlossen
David Copparoni
04.05.2011
Nr. 08
Ressourcen Management
Beschreibung
Alle über den vCloud Director erstellen virtuellen Maschinen, müssen
gleichmässig auf die vier ESXi Server vom Resource Cluster verteilt
werden. Die gleichmässige Aufteilung muss von den VMware Produkten
übernommen werden.
Konfiguration
Damit die VMs gleichmässig auf die vier ESXi Server verteilt werden,
wurde DRS auf dem Resource Cluster des vCenter Servers aktiviert.
Als Automation level wurde „Fully automated“ gewählt.
Ergebnis
Die verschiedenen VMs werden automatisch auf die ESXi Server verteilt:
Bemerkungen
Gesamtergebnis
-
TA.BA_BAA+INF.F1201
Seite 13 / 32
Testprotokoll
2.9 DNS Auflösung
Teststatus
Tester
Datum
Abgeschlossen
David Copparoni
04.05.2012
Nr. 09
DNS Auflösung
Beschreibung
Folgende Server müssen per FQDN erreichbar sein:
•
•
•
•
•
•
•
•
•
•
•
s0006.mngt.vm.el.campus.intern
s0007.mngt.vm.el.campus.intern
s0008.mngt.vm.el.campus.intern
s0009.mngt.vm.el.campus.intern
s0010.mngt.vm.el.campus.intern
vsm01.vm.el.campus.intern
vdb01.vm.el.campus.intern
vcs02.vm.el.campus.intern
vcs01.vm.el.campus.intern
vco01.vm.el.campus.intern
vcd01.vm.el.campus.intern
Konfiguration
Die Servernamen wurden vom Enterprise Lab Team im DNS eingetragen.
Ergebnis
Der Name aller Server kann per DNS aufgelöst werden.
Beispiel:
Bemerkungen
Folgende Server wurden ins Active Directory eingetragen und haben
deshalb den DNS Server automatisch erstellt:
•
•
•
vcs01.vm.el.campus.intern
vcs02.vm.el.campus.intern
vdb01.vm.el.campus.intern
Gesamtergebnis
TA.BA_BAA+INF.F1201
Seite 14 / 32
Testprotokoll
2.10 Einschränkung der Ressourcen
Teststatus
Tester
Datum
Abgeschlossen
David Copparoni
07.05.2012
Nr. 10
Einschränkung der Ressourcen
Beschreibung
Die Benutzer dürfen nicht beliebig viele Ressourcen verbrauchen. Die
Ressourcen der Benutzer müssen eingeschränkt werden können.
Konfiguration
Es wurde eine Organisation „INFSEC-1“ auf dem vCloud Director erstellt.
In dieser Organisation wurde ein virtuelles Datencenter mit den
entsprechenden Einschränkungen der Ressourcen erstellt.
Als Allocation Model wurde „Allocation Pool“ gewählt:
Das Datencenter wurde mit folgenden Ressourceneinschränkungen
konfiguriert:
Ergebnis
Die CPU Leistung kann 1 GHz nicht überschreiten:
Es kann nicht mehr als 8 GB Memory zugewiesen werden:
TA.BA_BAA+INF.F1201
Seite 15 / 32
Testprotokoll
Es kann nicht mehr als eine VM erstellt werden:
Es kann nicht mehr als 60 GB Speicherplatz zugewiesen werden:
Bemerkungen
Gesamtergebnis
TA.BA_BAA+INF.F1201
-
Seite 16 / 32
Testprotokoll
2.11 INFSEC OS-Security Versuch
Teststatus
Tester
Datum
Abgeschlossen
David Copparoni
17.04.2012
Nr. 11
INFSEC OS-Security Versuch
Beschreibung
Es gibt zwei mögliche Varianten, wie der vCloud Dirctor für den OSSecurity versuch eingerichtet werden kann:
Variante 1
Bei dieser Variante wird für jede Studentengruppe eine eigene
Organisation erstellt. Der Organisation wird ein Netzwerk mit einem
vShield Edge Device zugewiesen. Das vShield Edge Device wird am
Externen Netzwerk angeschlossen damit der Zugriff ins Enterprise Lab
und Internet gewährleistet werden kann. Innerhalb der Organisation
wird eine vApp erstellt mit einem Windows und Linux Client. Die Clients
werden direkt an das Organisationsnetzwerk angeschlossen. Somit sind
die Clients durch die Firewall vom Organisationsnetzwerk geschützt. Auf
dem vShield Edge Device wird zudem NAT aktiviert. Auf diese Weise
kann jeder VM in den verschiedenen Organisationen die gleiche IP
Adresse zugewiesen werden. Damit die Studenten per RDP und SSH auf
ihre Clients zugreifen können, kann eine Portweiterleitung für die
entsprechenden Protokolle erstellt werden. Die Konfiguration kann von
den Studierenden vorgenommen werden. Auf die VMs kann nicht nur
per RDP oder SSH zugegriffen werden, sondern auch über die vCloud
Director Konsole.
TA.BA_BAA+INF.F1201
Seite 17 / 32
Testprotokoll
Variante 2
Im Gegensatz zur ersten Variante wird hier nur eine Organisation für den
gesamten Versuch erstellt. Es wird auch ein Organisationsnetzwerk
erstellt und am externen Netzwerk angeschlossen. Zusätzlich wird aber
noch ein vApp Netzwerk für jede vApp erstellt und am
Organisationsnetzwerk angeschlossen. Das vShield Edge Device wird
aber am vApp Netzwerk angeschlossen und nicht am
Organisationsnetzwerk. Auch hier wird die Firewall eingeschaltet und
NAT konfiguriert. Die Studenten können das vShield Edge Device
wiederum selber konfigurieren. Auf die VMs kann per RDP, SSH oder per
vCloud Director Konsole zugegriffen werden.
Vor- und Nachteile
Bei der ersten Variant muss für alle Studentengruppen eine eigene
Organisation erstellt werden. Bei der zweiten genügt eine einzige
Organisation für alle Studenten, die am INFSEC Versuch teilnehmen. Weil
bei beiden Varianten für jede Studentengruppe ein eigenes Netzwerk
erstellt werden muss, ist der Aufwand für das Erstellen der Netzwerke
gleich gross. Jedoch muss beachtet werden, dass bei der ersten Variante
die Konfiguration von Firewall und NAT nur auf einem vShield Edge
Device vorgenommen werden muss. Bei der zweiten Variante hingegen,
muss jedes vShield Edge Device einzeln konfiguriert werden. Auch die
Sicherheit ist bei der ersten Variante höher, weil die Studentengruppen
komplett voneinander abgeschottet sind. In der zweiten Variante ist
zwar jede Gruppe durch eine Firewall geschützt, die vApps sind aber alle
am gleichen Organisationsnetzwerk angeschlossen. Bei der Vergabe der
Berechtigungen gibt es keine grossen Unterschiede. In der Variante 1
müssen die Berechtigungen der Studenten auf Stufe der Organisation
gesetzt werden, bei Variante 2 auf Stufe der vApp.
TA.BA_BAA+INF.F1201
Seite 18 / 32
Testprotokoll
Konfiguration
Der Versuch wird gemäss Variante 1 aufgebaut (siehe Bemerkungen).
Die Windows und Linux VM für den OS-Security Versuch wurden von
Herr Alexander Suhl aufgesetzt und konfiguriert. Am Versuch nahmen
zwei Studentengruppen teil. Für jede Studentengruppe wurde eine
Organisation im vCloud Director erstellt. Jeder Organisation wurden ein
Windows und ein Linux Client zugewiesen.
Das Netzwerk wurde gemäss Variante 1 vom Edu Cluster Konzept
konfiguriert. Auf der Windows VM wurde RDP und auf der Linux VM SSH
konfiguriert. Das vShield Edge Device wurde so konfiguriert, dass der
RDP und SSH Zugriff möglich ist (siehe Test 04). Auf das INFSEC Active
Directory konnte über das Externe Netzwerk (VLAN 2064) zugegriffen
werden.
Auf die Ressourcen konnten die Studenten über die URL mit ihren Active
Directory Accounts zugreifen:
•
•
Ergebnis
TA.BA_BAA+INF.F1201
https://10.29.64.2/cloud/org/INFSEC-1/
https://10.29.64.2/cloud/org/INFSEC-2/
Der OS-Security Versuch konnte von beiden Studentengruppen
erfolgreich durchgeführt werden.
Seite 19 / 32
Testprotokoll
Bemerkungen
Die Testinfrastruktur wurde gemäss Variante 1 aufgebaut. Dies weil
Variante 2 bis zu diesem Zeitpunkt noch nicht vollständig auf dem vCloud
Director eingerichtet ist.
Obwohl der Test mit der Konfiguration der ersten Variante durchgeführt
wurde, wird klar Variante 2 für zukünftige Durchführungen des OSSecurty Versuches empfohlen. Dies weil nur eine Organisation erstellt
werden muss und somit weniger Aufwand nötig ist. Auch die Übersicht
im vCloud Director bleibt gewährleistet, weil so jedes Modul an der
Hochschule seine eigene Organisation hat. Zwar müssen in der zweiten
Variante alle vShield Edge Devices einzeln konfiguriert werden, der
Mehraufwand ist jedoch sehr gering. Weil die Studentengruppen im
INFSEC-Versuch nicht komplett voneinander abgeschottet sein müssen,
gibt es auch im Bereich der Sicherheit keine Einwände gegen Variante 2.
Im Gegenteil. Die Studenten können sogar ihr vShield Edge Device selber
konfigurieren, was ein zusätzlicher Lernaufwand bedeutet.
Gesamtergebnis
TA.BA_BAA+INF.F1201
Seite 20 / 32
Testprotokoll
2.12 Performance Tests
2.12.1 Performance-Test 1
Teststatus
Tester
Datum
Abgeschlossen
David Copparoni
21.05.2012
Nr. 12
Performance-Test 1
Beschreibung
Es wird getestet, wie viele Ressourcen (CPU, RAM, Datastore) mit linked
Clones verbraucht werden. Zudem soll gemessen werden wie lange es
dauert die Clones zu erstellen. Für die Festplatten der VMs wird die
Option „thin provisioning“ verwendet.
Der Test wird mit folgenden VMs durchgeführt:
•
•
Konfiguration
5x Windows 7 Enterprise
5x RedHat Linux 5.6 Enterprise
Es wurde eine neue Test-Organisation auf dem vCloud Director erstellt.
Unter den Storage Optionen wurde „thin“ und „fast“ provisioning
aktiviert.
Damit der Test nicht verfälscht wurde, wurden die Templates für
Windows und Linux in einer anderen Organisation erstellt und über den
globalen Katalog freigegeben.
Jedem VM-Template wurden 4 GB RAM und eine 50 GB Harddisk
zugewiesen.
Für den Test wurden fünf Windows 7 und fünf RedHat Linux geklont.
TA.BA_BAA+INF.F1201
Seite 21 / 32
Testprotokoll
Ergebnis
Dauer für das Klonen: 7 Minuten
Die CPUs werden im Idle Zustand kaum beansprucht. Vom zugewiesenen
Arbeitsspeicher werden insgesamt 16.41 GB verwendet. Gemeinsam
genutzt werden aber lediglich 977 MB.
Der verwendete Speicherplatz für die Windows VMs beträgt 5.41 GB.
Davon werden 5.36 GB gemeinsam genutzt. Das bedeutet, dass für alle
fünf Windows VMs zusammen nur etwa 5.5 GB Speicher benötigt wird.
Sobald sich aber die Konfigurationen der VMs ändern, wird mehr
Speicher benötigt. Dieser kann dann nicht mehr gemeinsam genutzt
werden. Bei den Linux VMs zeigt sich das gleiche Bild.
Wie auf dem Datastore zu sehen ist, beträgt die Grösse einer Festplatte
von einer Linux VM nur gerade 17 MB.
Bemerkungen
Weil kein erwartetes Ergebnis definiert wurde, kann auch der Status des
Gesamtergebnisses nicht definiert werden.
Gesamtergebnis
-
TA.BA_BAA+INF.F1201
Seite 22 / 32
Testprotokoll
2.12.2 Performance-Test 2
Teststatus
Tester
Datum
Abgeschlossen
David Copparoni
21.05.2012
Nr. 13
Performance-Test 2
Beschreibung
Es wird getestet, wie viele Ressourcen (CPU, RAM, Datastore) mit linked
Clones verbraucht werden. Zudem soll gemessen werden wie lange es
dauert die Clones zu erstellen. Für die Festplatten der VMs wird die
Option „thin provisioning“ verwendet.
Der Test wird mit folgenden VMs durchgeführt:
•
•
Konfiguration
5x Windows 7 Enterprise
5x Windows Server 2008 R2
Es wurde eine neue Test-Organisation auf dem vCloud Director erstellt.
Unter den Storage Optionen wurde „thin“ und „fast“ provisioning
aktiviert.
Damit der Test nicht verfälscht wurde, wurden die Templates für
Windows 7 und Server 2008 in einer anderen Organisation erstellt und
über den globalen Katalog freigegeben.
Jedem VM-Template wurden 4 GB RAM und eine 50 GB Harddisk
zugewiesen.
Für den Test wurden fünf Windows 7 und fünf Server 2008 geklont.
TA.BA_BAA+INF.F1201
Seite 23 / 32
Testprotokoll
Ergebnis
Dauer für das Klonen: 10 Minuten
Die CPUs werden im Idle Zustand kaum beansprucht. Vom zugewiesenen
Arbeitsspeicher werden insgesamt 30.9 GB verwendet. Gemeinsam
genutzt werden aber lediglich 3.83 GB.
Der verwendete Speicherplatz für die Windows 7 VMs beträgt 5.41 GB.
Davon werden 5.36 GB gemeinsam genutzt. Das bedeutet, dass für alle
fünf Windows VMs zusammen nur etwa 5.5 GB Speicher benötigt wird.
Sobald sich aber die Konfigurationen der VMs ändern, wird mehr
Speicher benötigt. Dieser kann dann nicht mehr gemeinsam genutzt
werden. Bei den Server 2008 VMs zeigt sich das gleiche Bild.
Bemerkungen
Weil kein erwartetes Ergebnis definiert wurde, kann auch der Status des
Gesamtergebnisses nicht definiert werden.
Gesamtergebnis
-
TA.BA_BAA+INF.F1201
Seite 24 / 32
Testprotokoll
2.12.3 Performance-Test 3
Teststatus
Tester
Datum
Abgeschlossen
David Copparoni
21.05.2012
Nr. 14
Performance-Test 3
Beschreibung
Es wird getestet, wie viele Ressourcen (CPU, RAM, Datastore) mit linked
Clones verbraucht werden. Zudem soll gemessen werden wie lange es
dauert die Clones zu erstellen. Für die Festplatten der VMs wird die
Option „thin provisioning“ verwendet.
Der Test wird mit folgenden VMs durchgeführt:
•
Konfiguration
10x Windows 7 Enterprise
Es wurde eine neue Test-Organisation auf dem vCloud Director erstellt.
Unter den Storage Optionen wurde „thin“ und „fast“ provisioning
aktiviert.
Damit der Test nicht verfälscht wurde, wurde das Template für Windows
7 in einer anderen Organisation erstellt und über den globalen Katalog
freigegeben.
Dem VM-Template wurde 4 GB RAM und eine 50 GB Harddisk
zugewiesen.
Für den Test wurden zehn Windows 7 geklont.
TA.BA_BAA+INF.F1201
Seite 25 / 32
Testprotokoll
Ergebnis
Dauer für das Klonen: 10 Minuten
Die CPUs werden im Idle Zustand kaum beansprucht. Vom zugewiesenen
Arbeitsspeicher werden insgesamt 26.98 GB verwendet. Gemeinsam
genutzt werden aber lediglich 2.86 GB.
Der verwendete Speicherplatz für die Windows 7 VMs beträgt 5.41 GB.
Davon werden 5.36 GB gemeinsam genutzt. Das bedeutet, dass für alle
zehn Windows VMs zusammen nur etwa 5.5 GB Speicher benötigt wird.
Sobald sich aber die Konfigurationen der VMs ändern, wird mehr
Speicher benötigt. Dieser kann dann nicht mehr gemeinsam genutzt
werden.
Bemerkungen
Weil kein erwartetes Ergebnis definiert wurde, kann auch der Status des
Gesamtergebnisses nicht definiert werden.
Gesamtergebnis
-
TA.BA_BAA+INF.F1201
Seite 26 / 32
Testprotokoll
2.12.4 Test 14: Ressourcenverbrauch 4
Teststatus
Tester
Datum
Abgeschlossen
David Copparoni
21.05.2012
Nr. 15
Performance-Test 4
Beschreibung
Es wird getestet, wie viele Ressourcen (CPU, RAM, Datastore) mit full
Clones verbraucht werden. Zudem soll gemessen werden wie lange es
dauert die Clones zu erstellen. Für die Festplatten der VMs wird die
Option „thin provisioning“ verwendet.
Der Test wird mit folgenden VMs durchgeführt:
•
Konfiguration
5x Windows 7 Enterprise
Es wurde eine neue Test-Organisation auf dem vCloud Director erstellt.
Unter den Storage Optionen wurde „thin provisioning“ aktiviert und
„fast provisioning“ deaktiviert.
Damit der Test nicht verfälscht wurde, wurde das Template für Windows
7 in einer anderen Organisation erstellt und über den globalen Katalog
freigegeben.
Dem VM-Template wurde 4 GB RAM und eine 50 GB Harddisk
zugewiesen.
Für den Test wurden fünf Windows 7 geklont.
TA.BA_BAA+INF.F1201
Seite 27 / 32
Testprotokoll
Ergebnis
Dauer für das Klonen: 15 Minuten (nur 5 VMs)
Die CPUs werden im Idle Zustand kaum beansprucht. Vom zugewiesenen
Arbeitsspeicher werden insgesamt 13.67 GB verwendet. Gemeinsam
genutzt werden aber lediglich 1.25 GB.
Der verwendete Speicherplatz für die Windows 7 VMs beträgt 5.30 GB.
Davon werden 0 MB gemeinsam genutzt. Das bedeutet, dass für alle fünf
Windows VMs zusammen etwa 26.5 GB Speicher benötigt wird. Dies weil
alle VMs „full Clones“ sind.
Bemerkungen
Weil kein erwartetes Ergebnis definiert wurde, kann auch der Status des
Gesamtergebnisses nicht definiert werden.
Gesamtergebnis
-
TA.BA_BAA+INF.F1201
Seite 28 / 32
Testprotokoll
2.13 Linked Clones
Teststatus
Tester
Datum
Abgeschlossen
David Copparoni
21.05.2012
Nr. 16
Linked Clones
Beschreibung
Es wird getestet, was passiert wenn linked Clones in Betrieb sind und das
„Master-Template“ gelöscht wird. Der Test wird mit einer RedHat Linux
5.6 Enterprise VM durchgeführt.
Konfiguration
Es wurde eine neue Test-Organisation auf dem vCloud Director erstellt.
Unter den Storage Optionen wurde „thin“ und „fast“ provisioning
aktiviert.
Das Master-Template für Windows 7 wurde in einer anderen
Organisation erstellt und über den globalen Katalog freigegeben.
Dem VM-Template wurde 4 GB RAM und eine 50 GB Harddisk
zugewiesen.
Für den Test wurden zwei Windows 7 geklont und danach das MasterImage gelöscht.
TA.BA_BAA+INF.F1201
Seite 29 / 32
Testprotokoll
Ergebnis
Die linked Clones laufen trotzdem weiter.
Bemerkungen
Zum Schluss wurden alle VMs gelöscht (Master-Template und linked
Clones). Auf dem Datenspeicher jedoch wurden die Dateien der VMs
nicht gelöscht:
Weil kein erwartetes Ergebnis definiert wurde, kann auch der Status des
Gesamtergebnisses nicht definiert werden.
Gesamtergebnis
TA.BA_BAA+INF.F1201
-
Seite 30 / 32
Testprotokoll
2.14 Usability
Teststatus
Tester
Datum
Abgeschlossen
David Copparoni
04.05.2012 - 01.06.2012
Nr. 17
Ressourcenzugriff über das Schulnetz
Beschreibung
Es wird ein Usability Test durchgeführt. Für den Usability Test stellt sich
das Institut für Wirtschaftsinformatik (IWI) der Hochschule Luzern zur
Verfügung. Der Test wird von Herrn Jörg Ochsner durchgeführt.
Konfiguration
Auf dem vCloud Director wurde eine Organisation für das IWI erstellt.
Herrn Ochsner wurden Administrator Berechtigungen für diese
Organisation zugewiesen. Die Organisation ist folgendermassen
eingerichtet:
Ergebnis
Login :
Account :
https://10.29.64.2/cloud/org/IWI/
Enterprise Lab Account
Memory :
Datastore :
VMs :
Maximal 18 GB
Maximal 350 GB
Maximal 50
Netzwerk :
1x Organisationsnetzwerk inkl. Firewall und NAT
Herr Ochsner hat Folgende Rückmeldung gegeben:
„Leider konnten wir das ganze Thema Virtualisierung noch nicht in der
Tiefe angehen, wie wir das geplant hatten. Dementsprechend kann ich
nur ein teilweise Feedback geben:
•
•
•
•
TA.BA_BAA+INF.F1201
Die Bedienung des vCloud Directors ist sehr intuitiv, sofern man
das Wording von VMware kennt.
Die Rückmeldungen auf Benutzereingaben bzw. –aktivitäten
könnte besser sein. Oft weiss man nicht so genau, ob etwas im
Hintergrund geschieht oder nicht.
Aktuell kann ich eine vApp nicht mehr löschen, da sie sich im
Status „gestartet“ befindet. Dies obwohl keine VM der App
zugeordnet ist (die konnte ich löschen). Bug VM oder Bug
Benutzer?
Der Einsatzzweck ist mir noch nicht ganz klar. Soweit ich es sehe,
liegt das Schwergewicht auf der Virtualisierung von Servern. In
unserer Lab-Umgebung müssen wir jedoch Clients- bzw. Desktops
virtualisieren. Wenn ich mir die Produktepalette von VMware
ansehe, ist VMware View dazu gedacht. Mir ist noch nicht ganz
klar, wie alle Systemkomponenten zusammenarbeiten. Daher
kann ich auch noch keine Aussage zum Nutzen machen.
Seite 31 / 32
Testprotokoll
Aktuell hätte ich zudem eine Frage: Wie kann ich mit VMware Converter
5.0 Standalone bestehende virtuelle Maschinen in die vCloud-Umgebung
importieren?“
Bemerkungen
Gesamtergebnis
TA.BA_BAA+INF.F1201
-
Seite 32 / 32