vSphere 7 !

NDLR : 11/03/2020 – Quelques updates et corrections (plein de fôtes, désolé …)

Enfin, après des mois d’attente et de suspens insoutenable, la nouvelle version de vSphere est enfin annoncée ! Le fait est qu’il y a énormément de chose à dire sur l’ensemble, tellement les changements sont importants et profonds. A défaut de pouvoir personnellement couvrir 100% des nouveautés, n’en n’ayant ni les compétences ni le temps, je vous propose malgré tout un “récap” de ce que j’ai pu relever et du bénéfice que j’y vois à court et moyen terme.

Un stratégie pour les 5 prochaines années

En introduction, sachez que les vExpert bloggers ont été invités à partir de la mi-février à toute une série de sessions présentant les différents aspects de vSphere 7, auxquelles j’ai pu participer en partie. Par rapport notre niveau de production, je me suis surtout concentré sur les nouveautés de vCenter et ESXi, évidemment, le noyau dur.

Tout d’abord, VMware a présenté sa stratégie pour les 5 ans à venir avec vSphere 7 et surtout pourquoi elle prenait cette voie. d’ailleurs, ce n’était pas une nouveauté, la société en ayant déjà parlé longuement lors des conférences des deux derniers VMworld avec les projets Pacific et Tanzu. Depuis la démocratisation du cloud public et hybride ses 5 dernières années, il semble bien que toute l’IT continue sur sa lancée et convertisse petit à petit les éditeurs de logiciels aux containers et tout ce qui en découle : les fameuses “Cloud Native apps”. Dans cette logique, il était évident que si VMware voulait augmenter ses parts de marché au sein de ce nouvel écosystème tout en maintenant son hégémonie sur la virtualisation x86, elle devait embrasser complètement les technologies phares comme Kubernetes et les fondamentaux associés. vSphere 7 a été conçu dans cette optique avec l’intégration de l’orchestrateur au sein même du moteur.

Il reste un doute aujourd’hui sur l’accessibilité des API K8S via vCenter, je n’ai toujours pas réussi à savoir si elles seraient directement disponible sur un “banal” vCenter de production où si elles étaient vouées à être livrées via la suite VMware Cloud Fondation 4.0. J’en ai parlé à plusieurs personnes, sans pouvoir obtenir une information fiable. A suivre, donc … (NDLR, update : il semble bien que seule l’édition “vCF” avec une licence ad-hoc puisse être exploitée avec ses API Kubernetes. Franchement, je trouve ça totalement nul … Rognotudju).

De plus, une chose importante à savoir si vous comptez exploiter vCenter 7 avec ses fonctions Kubernetes : elles sont dépendantes pour la partie réseau de NSX-T (on s’en doutait, mais ça va mieux en le disant). VMware creuse encore plus la tombe de NSX-V (je pense même que NSX-V ne sera jamais compatible avec cette nouvelle version)

Livecycle Management

Quoi qu’il en soit, en plus de ce changement de paradigme, on peut tout de même présenter des avancées beaucoup plus pragmatiques de vCenter. La première grosse évolution concerne toute la gestion des composants vSphere. On sait tous que la gestion des mises à jour, patchs de sécurité et mais aussi l’entretien “hardware” des plateformes de virtualisation a toujours été un challenge pour nos productions. C’est d’ailleurs en partie pour cela que des offres packagées comme VxRail ont le vent en poupe aujourd’hui au détriment des cluster VSAN ready. Plus généralement, on ne peut pas dire qu’Update Manager, la gestion des Host Profiles et le maintient de la conformité de tout cela ai été une “partie de plaisr” pour nous ces dernières années.

Pour pouvoir résoudre tout cela, VMware propose des outils complémentaires ainsi que du raffinement dans ceux que l’on connait déjà :
– vCenter Profile : un outil capable de générer, au même titre que les Host Profile, des profils globaux pour vCenter. Cela permet d’envisager une forme d’uniformisation et de gestion globale de la configuration pour des productions “multi-vCenter”.
– vCenter Update Planner : vous pouvez désormais planifier plus facilement vos mises à jour vCenter avec notamment une gestion des compatibilités de vos composants directement intégré au sein du produit.
– Hardware Management : enfin ! vCenter intègre un composant permettant de gérer (HP et Dell, pour le moment) vos plateformes hardware et leur cycle de vie propre. On imagine que l’expérience de VxRail a du jouer beaucoup, je ne serai pas étonné que les développements inhérents à cette platforme aient été en partie intégrés à vCenter ^^

Content Libraires

vCenter 7 améliore les content libraries. Au passage, pour ceux qui ne les utilisent pas encore et qui en sont aux bon vieux templates, je vous conseille vraiment de les utiliser, elles sont une vraie belle évolution du principe de bibliothèque de modèle. Je le dit d’autant plus que pour le moment, chez nous, on y est pas passé ^^. Vous trouvez ça bizarre ? Vous avez raison … manque de temps chronique, remise à plus tard, vous connaissez la musique …

Deux évolutions :
– La gestion du versionning de vos images et templates
– Des fonctions avancées pour synchroniser automatiquement des CL entre elles avec gestion de la bande passante, de la fréquence de maj etc.

DRS

DRS continue d’évoluer lui aussi. Ici, c’est tout le moteur d’exécution et la philosophie qui ont été revus. En effet, DRS n’est plus basé sur l’équilibrage globale des cluters, mais se focalise désormais sur la notion de Workload (VM et Containers donc) et sur la mémoire consommée. DRS intègre également dans ses calculs la coût d’une migration (vMotion n’est pas neutre sur une infrastructure de production).

Il existe aussi une nouvelle option sur le hardware des VMs, dite “Assignable Hardware” (VM Hardware à partir de la version 17) qui permet à DRS de placer les VM sur les serveurs disposant de cette ressource. Jusqu’à présent vous deviez mettre en place des règles DRS spécifiques pour que la ou les VMs ayant des ressources de ce type restent “collées” aux machines en disposant. On pense notamment aux VMs attachées à des ressource GPGPU, d’autant qu’il est explicitement fait référence à NVIDIA GRID dans la présentation ! Ce sera notre cas bientôt, un cluster ESXi avec du GPGPU sur certains hôtes, je ne manquerai pas de tester tout ça sur un environnement de pré-production.

vMotion

vMotion lui aussi a été retravaillé. Un des challenges que VMware a relevé avec cette nouvelle version, c’est de résoudre les contentions inhérentes aux “Monster VMs”. En effet, comment limiter l’impact performance d’une session de vMotion sur une machine qui dispose de 3,4 ou 10 To de RAM ? Si vous ne vous rappelez plus comment vMotion fonctione, je vous invite à aller (re-)lire mon billet sur le sujet, ici-même.

Sous vSphere 6, vMotion installait des “page tracers” (loggeur de changement dans les pages mémoire) sur chaque vCPU, ce qui avait un impact sur l’ensemble des coeurs de la VM elle-même. Maintenant, vMotion installe un page tracer sur un seul des vCPU. De même, lors du dernier transfert de bloc mémoire, vMotion envoie désormais une bitmap compressée et non plus l’image résiduelle, ce qui réduit énormément ce qu’on appelle le “Stun Time”, le temps de “figeage” de la VM lors de sa bascule vers l’hôte cible.

Globalement, vMotion se bonifie encore et même si ses derniers développements sont surtout concentrés sur les machines virtuelles un peu exceptionnelles, nos petits environnements en bénéficieront aussi avec des bascules encore plus rapides et transparentes. On va enfin pouvoir tordre le coup aux derniers fournisseurs qui interdisent le vMotion, “parce que sinon, ça plante”. Non, non, promis, pas de Rognotudju aujourd’hui ^^

Enfin, vMotion propose aussi des modes EVC pour les dernières générations de processeurs Intel et AMD.

Watchdog Timer et Precision Time Protocol

Ce sont des petites nouveautés, mais qui peuvent changer la vie au quotidien :
– Fonction Watchdog timer : vous pouvez déclarer ce type de contrôle dans une VM. Celui permet de redémarrer automatiquement une VM sile guest fait un kernel panic ou un BSOD.
– Fonction PTP : pour certaines applications scientifiques ou financière, l’horloge se doit d’être synchronisé à la micro-seconde quelques fois. Vous le savez sans doute, mais une VM, même connectée à un NTP, est potentiellement sujette à une forme de drifting de son temps propre. Cette fonction, qui nécessite un composant de VM mais aussi un service spécifique à installer dans le guest, permet de réduire ce décalage à un niveau compatible avec les applications sensibles.

Amélioration sur le chiffrement et la sécurité

Enfin, pour terminer cette première “overview”, quelques informations sur la sécurité et la gestion du chiffrement sous vSphere 7.

Les VM en hardware 17 sont désormais capable de fournir l’accès à aux enclaves sécurisées du hardware sous-jacent (exploitation des extension SGX d’Intel). Pour ceux qui ne voient pas trop ce que cela recoupe, c’est le même système qui est utilisé par Apple sur ses iPhones/iPad disposant d’une portion mémoire sécurisée sur les puces Ax et qui permet de stocker vos caractéristiques biométriques (empreinte pour TouchID ou votre joli minois pour FaceID). Attention, par principe, ces espaces mémoire étant totalement inaccessibles directement et ne répondant que par des simples “ça match ou ça match pas” en général, impossible pour un ESXi de faire du vMotion ni même des Snapshots sur ce type de machine, forcément. Donc à réserver à des applications critiques et dont les contraintes opérationnelles sont compatibles avec une localisation hardware statique.

La gestion des certificats de vCenter, tiens oui parlons-en… Je ne sais pas combien de fois nous avons pu pester sur les milles et unes façons d’installer et mettre à jour des certificats VMware sur leurs solutions. En gros, je pense qu’il y en a au moins autant que de logiciels au catalogue et vCenter n’échappait pas à la règle avec, en plus, plein de certificats partout et dans tous les coins ou presque. Et bien, enfin, vCenter 7 propose un outil simple : plus qu’un seul certificat à mettre à jour, vous l’uploadez … hop, c’est fini ! En tout cas c’est la promesse de VMware, sur le papier … à voir dans la pratique ^^

Concernant chiffrement des workloads sur disque, cela a toujours été difficile à mettre en oeuvre sous vSphere et surtout rendait vCenter extrêmement critique et sensible (trop par rapport à sa position au sein de la prod à mon sens), celui-ci hébergeant l’ensemble des clefs privées des ESXi, entre autre. Plus de vCenter ? Vous ne pouvez plus démarrer vos machines, ne serait-ce que ça. Désormais VMware propose de dédier un cluster spécifique “maître des clefs” et accédé directement par les hyperviseurs pour obtenir leurs clefs. Certes, c’est encore un cluster de plus, mais quand le chiffrement est une obligation, cela fait sauter pas mal de limitations présentes dans vSphere 6. Je vous laisse regarder les slides qui sont un peu plus précis sur le sujet.

Et pour terminer, vCenter est enfin capable de s’interfacer avec un Identiy Provider !!! C’était une fonction très attendue et depuis longtemps, elle est enfin là. Cerise sur le gâteau, l’authentification multi-facteur est aussi présente. Que du bon, donc, de ce point du vue.

Et bé dis donc …

Je suis passé sur certaines autres nouveautés, moins importantes, comme le multi-homing de vCenter ou l’évolution de la procédure d’installation et de mise à jour. Malgré tout, elles se découvrirons au fur et à mesure de l’arrivée de la suite vSphere 7 sur les étales du marché de l’IT. On aura bien sûr l’occasion d’en reparler ensemble, c’est certain.

De même, il reste toute la partie spécifique “Container” qu’il va falloir défricher aussi, mais je vais d’abord me former à tout cela avant d’avoir ne serais-ce que la légitimité suffisante pour vous en parler ^^

A l’heure où j’écris ces lignes, je ne sais pas si la GA est tout de suite disponible ou non, mais je mettrai à jour ce billet dès que j’aurais l’information, avec les liens d’accès aux binaires et documentations diverses (NDLR, update : on s’en doutait … pas de GA avant le mois de Mai, le temps de bien saliver avant d’avoir une version à se mettre sous le clavier).