Alphorm.com Formation VMware vSphere 7 : What's New 2/2

Une formation
Alaa EL BEJJAJ
Formation
VMware vSphere 7 : What's New (2/2)
MàJ des connaissances

Contact
 Elbejjaj.alaa@gmail.com
 https://linkedin.com/in/elalaa
Profil personnel
 Formateur Indépendant
 Architecte Virtualisation et Cloud
Computing
Expériences (+13ans)
 Architecte Virtualisation et Cloud
 Architecte Sys et Virtualisation
 Ingénieur Virtualisation Senior
 Ingénieur Support Technique
 Technicien Informatique
Certifications
 VCIX-DCV 6.5
(VCAP-Deploy + VCAP-Design)
 VCP : DCV, NSX et CMA.
 Hyper-V
 AWS Solutions Architect
 Oracle Cloud
 Nutanix NPP
 CCNA R&S
…
Skils
 Cloud Computing
 Virtualisation
 Systèmes
 Stockage
 Sauvegarde
 Réseaux
 Hardware
Alaa EL BEJJAJ
Présentation du formateur

Une formation
Introduction
1. Améliorations du stockage
2. Améliorations de la sécurité
3. Améliorations du cluster
4. Gestion du cycle de vie vSphere
5. Introduction à vSphere avec Tanzu
Conclusion
Plan

Une formation
Public Concerné
Administrateurs, Ingénieurs et Architectes VMware
vSphere
Préparation de la certification : VCP-DCV 2021
Toute personne ayant des connaissances vSphere et
souhaite mettre à jour ces connaissances

Une formation
Alaa EL BEJJAJ
Découvrir les ressources
et certifications VMware

Une formation
Documentation pour vSphere 7 : https://docs.vmware.com/
Communautés VMware : http://communities.vmware.com
Support VMware : http://www.vmware.com/support
Laboratoires pratiques VMware : http://hol.vmware.com
Blog : https://blogs.vmware.com/vsphere/tag/vsphere-7
Parcours d'apprentissage VMware : https://vmware.com/education
Ressources en ligne

Une formation
VMware Compatibility Guide : https://www.vmware.com/go/hcl
VMware Product Interoperability Matrices :
https://www.vmware.com/resources/compatibility/sim/interop_mat
rix.php
Maximum de configuration VMware :
https://configmax.vmware.com/
Base de connaissances VMware : https://kb.vmware.com/
Ports et protocoles VMware : https://ports.vmware.com/
vSAN ReadyNode™ Sizer : https://vsansizer.vmware.com/
Product Lifecycle Matrix : https://lifecycle.vmware.com
Liens utiles

https://vmware.com/certification
VCIX VMware Certified Implementation Expert
(earned by achieving both VCAPs)
Certifications VMware

Une formation
Présentation du LAB
Alaa EL BEJJAJ

Architecture du LAB
vMotion Network 192.168.10.0 /24
Production Network 192.168.3.0 /24
Storage Network 192.168.2.0 /24
Management Network 192.168.1.0 /24
.12
.100 .11
.10
.13 .14
.1
Esxi-02a
Esxi-01a Esxi-03a Esxi-04a
DC-Storage-VM
VCSA-01a
pfSense
Roles :
- vCenter Server
- vLCM
Roles :
- Gateway
- Firewall
- NTP
- DHCP
Roles :
- Active Directory
- DNS
- iSCSI
- NFS

VMware Hands On Lab
VMware Hands-On-Lab : https://labs.hol.vmware.com/

Une formation
Comprendre les améliorations
des systèmes de stockage NVMe
Alaa EL BEJJAJ

Une formation
Plan
A propos de NVMe
FC-NVMe et NVMe sur RDMA (RoCE v2)
Configuration de NVMe sur RDMA

Une formation
Non-Volatile Memory express est un protocole de
communication de haute performance, conçu
spécifiquement pour fonctionner avec la mémoire
flash par le biais d’un bus PCIe (Peripheral Component
Interconnect Express)
Permet d’assurer un stockage non volatile plus
rapide
Il a été créé pour tirer profit de la nature parallèle
des SSD
A propos de NVMe

Pile d'architecture de stockage enfichable (Pluggable
Storage Architecture (PSA)) à l'aide d'un plug-in
haute performance (HPP) avec multi-acheminement
(Multipathing)
Ajout et retrait à chaud de périphériques NVMe
locaux, si le système serveur le prend en charge
Prise en charge des périphériques qui utilisent
l'accès direct à la mémoire à distance (RDMA) ou
Fibre Channel
Une formation
Fonctionnalités

Une formation
Le stockage NVMe peut être directement attaché à un hôte à
l'aide d'une interface PCIe ou en réseau à l’aide de NVMe over
Fabrics (NVMe-oF)
NVMe sur PCIe
Stockage local
NVMe sur RDMA
NVMe over Fabrics (NVMe-oF) partagé avec RDMA sur la
technologie RoCE (Converged Ethernet) v2
NVMe sur Fibre Channel (FC-NVMe)
NVMe over Fabrics partagé avec Fibre Channel
Topologies NVMe prises en charge

FC-NVMe et NVMe sur RDMA (RoCE v2)

Prise en charge de FC-NVMe
NVMe-oF mappe NVMe sur le protocole Fibre Channel
Avec NVMe-oF, les données et les commandes peuvent être transférées
entre un ESXi et un périphérique de stockage cible
Pour accéder au stockage FC-NVMe, vous devez installer un adaptateur de
stockage Fibre Channel prenant en charge NVMe
Pas besoin de configurer le contrôleur
Une fois l'adaptateur matériel NVMe est installé, il se connecte
automatiquement à toutes les cibles et contrôleurs accessibles

Une formation
Baie de stockage Fibre Channel prenant en charge
NVMe
Contrôleur NVMe
Minimum ESXi 7.0
HBA FC-NVMe
Maximum de configuration pour NVMe-oF
32 espaces de noms (namespaces)
128 chemins
4 chemins par espace de noms par hôte
Configuration requise pour FC-NVMe

Prise en charge de NVMe sur RDMA
NVMe sur RDMA (RoCE v2) utilise RDMA pour le transport entre deux
systèmes sur le réseau
L'échange de données se produit dans la mémoire principale, en
contournant l’OS et le processeur des deux systèmes
ESXi 7 prend en charge la technologie RoCE v2, qui active RDMA sur un
réseau Ethernet
Pour accéder au stockage, l'ESXi utilise un adaptateur réseau RDMA
installé et un adaptateur logiciel de stockage NVMe sur RDMA

Une formation
Baie de stockage NVMe prenant en charge du transport
NVMe sur RDMA (RoCE v2)
Contrôleur NVMe
Minimum ESXi 7.0
Switch Ethernet prenant en charge un réseau sans perte
(Lossless Network)
NIC sur l’ESXi prenant en charge RoCE v2
Adaptateur logiciel NVMe sur RDMA activé sur vos hôtes
ESXi
Configuration de NVMe sur RDMA
(RoCE v2)

Configuration NVMe sur RDMA (RoCE v2)

Une formation
Comprendre l’architecture
de stockage enfichable
Alaa EL BEJJAJ

Une formation
Plan
A propos de PSA
Architecture PSA
Plug-in hautes performances pour NVMe
Prise en charge du HPP
Meilleures pratiques pour HPP

A propos de PSA
Pluggable Storage Architecture est un cadre ouvert et modulaire qui coordonne divers modules
logiciels responsables des opérations de multi-acheminement (Multipathing)
VMware fournit des modules de gestion Multipathing natifs génériques : NMP et HPP
PSA propose une collection d'API VMkernel destinée aux développeurs tiers pour créer leurs
propres modules d'équilibrage de charge et de basculement (appelé MPP) pour une baie de
stockage en particulier

Architecture de stockage enfichable
Utilisé avec les
périphériques flash
(locaux et en réseau)
Utilisé avec les
périphériques de
stockage SCSI
Développé et fourni
par un tiers
Gère le multipathing
pour les
périphériques de
stockage NVMe
Gère la sélection de
chemin pour un
périphérique de
stockage SCSI
Gère le basculement
de chemin pour une
matrice de stockage
SCSI donnée

Une formation
Dans vSphere 7, le HPP exécute les fonctions
suivantes :
Agit comme le plug-in par défaut (NVMe-oF)
Prend en charge uniquement les cibles ALUA (Asymmetric
Logical Unit Access) actives-actives et implicites
Améliore les performances des périphériques flash ultra-
rapides installés sur ESXi
Peut remplacer le plug-in NMP pour les périphériques
NVMe locaux
Prend en charge le multi-acheminement pour NVMe-oF
Plug-in hautes performances pour NVMe

Le HPP améliore les performances des périphériques NVMe sur les hôtes ESXi
Prise en charge du HPP
HPP vSphere 7
Périphériques de stockage NVMe PCIe local
NVMe-oF partagé (cibles ALUA actives-actives et
implicites uniquement)
Multipathing Oui
Plug-ins de deuxième niveau Non
Schéma de sélection de chemin (PSS)
Réservations persistantes SCSI-3 Non
Périphérique 4Kn avec émulation
logicielle
Non
vSAN Non

Une formation
Utiliser HPP pour les périphériques NVMe locaux ou
en réseau
Ne pas activer le HPP pour les disques durs ou les
périphériques flash lents
Pour FC-NVMe, suivre les recommandations
générales pour le stockage Fibre Channel
Ne pas mélanger les types de transport pour
accéder au même espace de noms, lors de
l’utilisation NVMe-oF

Une formation
Avant d'enregistrer les espaces de noms NVMe-oF,
vérifier que les chemins actifs sont présentés à l'hôte
Configurer les VM pour utiliser les contrôleurs
VMware Paravirtual
Configurer les VM pour utiliser une sensibilité à
latence élevée
Si une seule VM gère une part importante de la
charge de travail d'E / S de l'appareil, envisager de
répartir les E / S sur plusieurs disques virtuels
Connecter les disques à des contrôleurs virtuels
séparés dans la VM

Une formation
Alaa EL BEJJAJ
Comprendre la prise en charge
d'iSER

Une formation
Plan
A propos de iSER
La prise en charge d'iSER
VVOL et iSER
Conditions requises pour iSER
Configurer iSER

Une formation
iSER
iSCSI Extensions for RDMA
Un protocole qui étend le protocole iSCSI
pour utiliser l'accès direct à la mémoire à
distance (RDMA)
Le protocole TCP avec les services RDMA (iWARP)
RoCE qui n'a pas besoin de la couche TCP
InfiniBand

TCP/IP stack
iSER n’a pas de TCP/IP stack

Pris en charge depuis vSphere 6.7
L'extension iSCSI pour RDMA (iSER) fournit une
connectivité iSCSI hautes performances pour les
cartes réseaux RDMA standard
ESXi prend en charge le protocole iSER en plus de
l’ISCSI
Lorsque le protocole iSER est activé, l'infrastructure
iSCSI sur l'hôte ESXi peut utiliser le transport RDMA
au lieu de TCP/IP
Une formation
La prise en charge d'iSER

vSphere 7 ajoute également la prise en charge
d'iSER pour vSphere Virtual Volumes
Prise en charge d'iSER
Appareils compatibles RoCE
Une baie de stockage cible prenant en charge le
protocole iSER sur RoCE
Une formation
VVOL et iSER

Utiliser le esxcli
Vérifier que votre stockage iSCSI prend en charge le
protocole iSER
Installer l'adaptateur compatible RDMA sur votre hôte ESXi
Utiliser le commutateur compatible RDMA
Activer le contrôle de flux sur l'hôte ESXi via « esxcli system
module parameters »  kb:1013413
Configurer les ports de commutateur RDMA pour créer
des connexions sans perte entre l'initiateur iSER et la cible
Une formation
Conditions requises pour iSER

Configurer iSER
Étape de configuration La description
Activer l'adaptateur VMware iSER “esxcli rdma iser add”
Modifier les propriétés générales des
adaptateurs iSCSI ou iSER
Si nécessaire, modifier le nom et l'alias par défaut attribués à
votre adaptateur
Configurer la liaison de port (port binding) pour
iSCSI ou iSER
Créer des connexions réseau pour lier le moteur iSER et la carte
réseau compatible RDMA
Configurer la découverte dynamique ou statique
pour iSCSI et iSER
Avec la découverte dynamique, chaque fois que l'initiateur
contacte un système de stockage iSER spécifié, il envoie la
demande SendTargets au système
Avec la découverte statique, saisir manuellement les
informations des cibles
Configurer CHAP pour iSCSI ou iSER Cette étape n'est nécessaire que si votre environnement utilise
le protocole CHAP (Challenge Handshake Authentication
Protocol)
Activer les trames jumbo pour la mise en réseau Si votre environnement prend en charge les trames jumbo,
activer-les pour l'adaptateur

Une formation
Comprendre le chiffrement de la
VM
Alaa EL BEJJAJ

Une formation
Plan
Qu’est quoi le chiffrement ?
Le chiffrement vSphere de VM
Composants de chiffrement vSphere de VM
Flux de chiffrement du fournisseur de clés
standard

Une formation
Chiffrement : Processus de codage des informations
Convertit la représentation originale de l'information
(texte en clair), en une forme alternative connue
sous le nom de texte chiffré
Seules les parties autorisées peuvent déchiffrer
l’information et accéder aux informations d'origine

Une formation
Code
Promo
Alphorm :
ALAA30
CnR3 E6
gk7R5
Mn92c/ di
78TT 0W-
d1xJ
Code
Promo
Alphorm :
ALAA30
Déchiffrement
Chiffrement
Clé secrète
Texte en
claire
Texte chiffré Texte en
claire

Une formation
Il a été introduit dans vSphere 6.5 et vSAN 6.6.
Permet d’activer le chiffrement à la fois dans les VM
et le stockage sur disque.
Seuls les administrateurs disposant de privilèges de
chiffrement peuvent effectuer des tâches de
chiffrement et de déchiffrement.
Il est basé sur des normes, compatible KMIP et facile
à déployer.
Le chiffrement vSphere de
VM

Une formation
Fichiers VM
Fichiers de disque virtuel
Fichiers vidages de mémoire de l’hôte
Qu'est-ce qui est chiffré

Une formation
Fichiers journaux
Fichiers de configuration de VM
Fichiers de descripteur de disque virtuel
Qu'est-ce qui n’est pas
chiffré

Une formation
Composants de chiffrement vSphere de VM
 Fournisseur de clés :
• Fournisseur de clés standard compatible
KMIP (vSphere 6.5 et versions ultérieures)  à
valider sur HCL.
• Fournisseur de clés approuvé (vSphere 7.0 et
versions ultérieures).
• VMware vSphere Native Key Provider (à
partir de vSphere 7.0 Update 2 avec une
licence vSphere Enterprise+).
 vCenter Server
 ESXi hosts

Une formation
Flux de chiffrement du fournisseur de clés standard
1. vCenter Server demande une nouvelle clé
au serveur de clés par défaut (certificat KEK
(Key Encryption Key)).
2. vCenter Server stocke l'identifiant de clé
(Key ID) et transmet la clé à l'hôte ESXi.
3. L'hôte ESXi génère des clés internes (DEK)
pour la VM et ses disques. Ces DEK sont
stockés en mémoire et cryptés par la clé
KMS (KEK).
4. L'hôte ESXi chiffre la VM avec la clé interne
chiffrée.

Une formation
Comprendre les améliorations du
chiffrement de la VM
Alaa EL BEJJAJ

Une formation
Plan
Améliorations du chiffrement de la VM
Chiffrement de VM pendant le clonage
Configurations requises
Recryptages superficiels de VM avec des
snapshots
Chiffrement du clone instantané
Envois de clés vers les hôtes

Une formation
Certaines opérations de VM prennent désormais en
charge les VM chiffrées
Avec vSphere HA activé et au moins une VM
chiffrée, le mode de chiffrement est activé sur tous
les hôtes du cluster
Les nouvelles API améliorent la gestion de
l'environnement de chiffrement de VM
De nouveaux événements et alarmes surveillent
l'environnement de chiffrement de la VM
Améliorations

Une formation
En activant le chiffrement sur les VM, protéger
vos données confidentielles
Les VMDK sont chiffrés et ne sont accessibles
qu'avec une clé numérique
Le contrôle d'accès vSphere limite l'accès à la clé
numérique pour le déchiffrement
Les données en vol (En transit) sont cryptées
Cas d'utilisation

Chiffrement de VM pendant le clonage
Les opérations cryptographiques sont prises en charge
lors du clonage d'une VM ou de la création d'une VM à
partir d'un modèle.
Opérations de chiffrage et de déchiffrage de VM sont
possibles pendant le clonage de la VM en changeant la
stratégie de la VM.
Lors du clonage d'une VM chiffrée, vous rechiffrez la VM
de destination à l'aide de PowerCLI pour modifier les clés
des VM. Vous pouvez effectuer une modification
superficielle (Shallow Rekey) ou profonde (Deep Rekey).
Une formation

Chiffrement ou déchiffrement de la VM de destination
Pour crypter ou décrypter la VM de destination, modifier la politique de
stockage de la VM

Une formation
Dans vSphere 7.0 et 7.0 U1
Un serveur KMS par défaut doit être configuré dans
vCenter Server
Si le clonage se produit sur des hôtes ESXi, les hôtes
ESXi source et de destination doivent être vSphere 7
Dans vSphere 7.0 U2
Vous pouvez utiliser le fournisseur de clé native.
Configurations requises

Une formation
Dans vSphere 7 vous pouvez effectuer un
chiffrement superficiel d'une VM chiffrée avec des
instantanés lorsque la VM est allumée ou éteinte
Il est possible de chiffrer que les VM avec une seule
branche de snapshot (plusieurs branches ne sont
pas prises en charge)
Recryptages superficiels de VM avec
des snapshots

Une formation
Si l'opération de recryptage échoue avant le
recryptage de tous les snapshots de la chaîne,
certains snapshots sont chiffrés avec la nouvelle
clé et d'autres snapshots utilisent l'ancienne clé
Pour résoudre ce problème, un nouveau
chiffrement superficiel est nécessaire
Cas de recryptages échoué

Une formation
Dans vSphere 7, la technologie de clonage
instantané prend en charge le clonage d'une
VM chiffrée (la VM parente)
Le clone instantané d'une VM est effectué à
l'aide de PowerCLI et API Calls
Par défaut, la VM de clone instantané chiffrée
hérite les mêmes clés que la VM parente
Instant Clone

Une formation
Pendant l'opération de clonage instantané, la
VM chiffrée ne peut pas être recryptée ou
déchiffrée
Après avoir créé un clone instantané d'une VM
chiffrée, vous ne pouvez pas rechiffrer
(superficiellement ou en profondeur) ou
déchiffrer la VM source ou la VM de destination
Limites d’Instant Clone

Envois de clés vers les hôtes
Versions antérieures à vSphere 7 :
• L'hôte doit être activé pour le
chiffrement.
• Lorsqu'un hôte d'un cluster passe en
mode cryptage, tous les autres hôtes
du cluster doivent passer en mode
cryptage.
• vCenter Server récupère les clés
nécessaires pour tous les hôtes du
cluster.
Dans vSphere 7 :
• Si vSphere HA est activé sur un cluster,
avec au moins une VM chiffrée sur un
hôte du cluster, vCenter Server envoie
les clés de VM nécessaires à tous les
hôtes du cluster.
• Si vSphere HA n'est pas activé, vCenter
Server envoie les clés de VM
uniquement aux hôtes ESXi sur
lesquels la VM et ses disques sont
enregistrés.

Une formation
Configurer un serveur KMS pour
le chiffrement de la VM
Démo
Alaa EL BEJJAJ

Une formation
Cloner et décrypter une VM
chiffrée
Démo
Alaa EL BEJJAJ

Une formation
Découvrir le chiffrement
de la VM entre vCenter Server
Alaa EL BEJJAJ

Une formation
Plan
Clonage entre vCenter des VM Chiffrées
Migration entre vCenter des VM Chiffrées
Architecture pour les migrations et clones
entre vCenter Server

Une formation
Effectuer des opérations cryptographiques entre les instances
de vCenter Server
Lors du clonage d'une VM non chiffrée entre des instances
de vCenter Server, vous pouvez chiffrer la VM de destination
Lors du clonage d'une VM chiffrée sur des instances de
vCenter Server, vous pouvez déchiffrer ou rechiffrer la VM de
destination
Les VM peuvent être mises sous tension ou hors tension lors
du clonage entre des instances de vCenter Server
Clonage entre vCenter des VM
Chiffrées

Une formation
Migrer une VM chiffrée entre les vCenters
Pas possible de décrypter la VM pendant la migration
Pas possible de rechiffrer la VM pendant la migration
Les VM peuvent être mises sous tension ou hors
tension lors de la migration entre vCenters
Migration entre vCenter des VM
Chiffrées

Architecture pour les migrations et clones
entre vCenter Server

Une formation
Cloner et migrer une VM chiffrée
entre vCenter servers
Démo
Alaa EL BEJJAJ

Une formation
Utiliser le fournisseur de clé
natif vCenter Server
Démo
Alaa EL BEJJAJ

Une formation
vSphere Native Key Provider
Introduit dans vSphere 7.0 U2
Plus besoin d’un serveur de clés externe
Active les TPM virtuels (vTPM) basés sur le
chiffrement
Peut être utilisé pour chiffrer des VM
À utiliser qu’avec les produits d'infrastructure
VMware
Fournisseur de clé natif
vSphere

Une formation
vSphere 7.0 Update 2 et versions ultérieures
Les hôtes ESXi doivent se trouver dans un
cluster
Une licence « vSphere Enterprise+ » pour
effectuer le chiffrement de la VM
Conditions requises pour
NKP

Une formation
Découvrir les événements et
alarmes du chiffrement de la VM
Alaa EL BEJJAJ

Une formation
Plan
Événements et alarmes de chiffrement
Le vidage de mémoire chiffré
Espace disque insuffisant
Echec de la génération de clé
KMS inaccessible

Une formation
Événement d'avertissement
Un vidage de mémoire chiffré existe
Événements critiques
Espace disque insuffisant
La création de la clé a échoué sur le cluster KMS
Le serveur KMS est inaccessible
Événements et alarmes de chiffrement

Le vidage de mémoire chiffré
Besoin d’un vidage de mémoire pour résoudre un
problème :
L'événement fournit le nom et l'emplacement du fichier de vidage
de mémoire
Effectuer une maintenance périodique et libérer de
l'espace disque :
L'événement identifie un vidage de mémoire et vous pouvez
supprimer le vidage de mémoire si cela n'est pas nécessaire
/var/log/vmware/vpxd/vpxd.log
/var/log/hostd.log
Utiliser crypto-util CLI pour déchiffrer ou rechiffrer un vidage de
mémoire.
Une formation

Avertissement : Le vidage de mémoire chiffré existe
vCenter Server génère et capture des événements d'avertissement lorsqu'un vidage de mémoire
hostd chiffré existe
Le message est écrit dans les journaux hostd

Événement critique : espace disque insuffisant
Si l'espace disque est faible et que vous essayez de chiffrer ou de déchiffrer une VM hors tension, cet événement
peut se produire
Deux fois plus d'espace disque est requis temporairement pour que les opérations de chiffrement ou de
déchiffrement se terminent
Localiser la banque de données où réside la VM chiffrée et surveiller son espace disque

Événement critique : échec de la génération de clé
Un événement est publié lorsque le KMS ne parvient pas à générer une nouvelle clé pour
vCenter Server
L'événement est également capturé dans les journaux de vCenter Server

Une formation
Vérifier les journaux de vCenter Server pour les messages
associés
Vérifier que le serveur KMS n'est pas arrêté ou hors tension
Vérifier la connexion entre le serveur KMS et vCenter
Server
Si un proxy est nécessaire pour accéder à votre KMS, vérifier
qu'il est toujours accessible
Vérifier que vous utilisez les adresses IP ou les noms de
domaine complets corrects
Événement critique : KMS inaccessible

Une formation
Découvrir le module de plate-
forme sécurisée (TPM) virtuel
Alaa EL BEJJAJ

Une formation
Trusted Platform Module ou module de
plate-forme sécurisée
Un appareil de sécurité qui contient des
clés générées par ordinateur pour le
chiffrement
Une solution matérielle pour protéger les
MDPs, les clés de chiffrement et d’autres
données sensibles
À propos de TPM

Une formation
Les étapes nécessaires pour garantir une
infrastructure plus sûre sont :
Authentification
Attestation
À propos de TPM

Une formation
Hachage
Génération de nombres aléatoires
Génération de clé asymétrique
Chiffrement/déchiffrement asymétrique
Fonctionnalités de TPM

Une formation
Une représentation logicielle d'une puce
TPM 2.0
Introduit en vSphere 6.7
Agit comme n'importe quel autre
périphérique virtuel
Virtual Trusted Platform Module

Une formation
Pour la machine virtuelle
Micrologiciel EFI
Matériel version 14 ou ultérieure
Configuration requise pour un vTPM

Une formation
Pour le composant
vCenter Server 6.7 ou version ultérieure pour les
machines virtuelles Windows.
vCenter Server 7.0 Update 2 pour les machines
virtuelles Linux.
Fournisseur de clés configuré pour vCenter Server
Chiffrement de la machine virtuelle (pour chiffrer les
fichiers de base de la machine virtuelle)

Une formation
Pour l’OS invité
Linux
Windows Server 2008 et versions
ultérieures
Windows 7 et versions ultérieures

Une formation
TPM matériel
Un coprocesseur cryptographique qui fournit un
stockage sécurisé pour les secrets
vTPM Virtuel
Offre les mêmes fonctions
Fournit des capacités de coprocesseur
cryptographique dans le logiciel
Utilise le fichier « .nvram » comme son espace de
stockage sécurisé
TPM matériel vs TPM virtuel

Une formation
Découvrir vSphere Trust
Authority
Alaa EL BEJJAJ

Une formation
Plan
Autorité d'approbation vSphere
Cas d’utilisation
Composants de vTA
Services de vTA
Topologies de vCenter Server
Flux de configuration vTA
Chiffrement de VM

Une formation
vSphere Trust Authority
Introduit dans vSphere 7.0 et versions ultérieures
Ensemble de services qui active une infrastructure
d'approbation
Améliore la sécurité des charges de travail
Utilise une racine matérielle de confiance pour
sécuriser l'environnement vSphere
Rapports sur les logiciels exécutés sur un hôte
Mesure ou atteste le logiciel à l'aide d'un module de
plateforme sécurisée (TPM)

Une formation
Dans vSphere 6.x, le chiffrement et l'attestation
de VM fonctionnent des manières suivantes :
L'attestation est une vue en lecture seule et aucune
répercussion ne se produit en cas d'échec.
L'attestateur est vCenter Server.
Le transfert des clés s'effectue via vCenter.
Vous ne pouvez pas chiffrer vCenter en toute
sécurité car il forme une dépendance sur l'accès aux
clés.

Une formation
Autorité d'approbation vSphere améliore le
chiffrement et l'attestation :
Besoin d’une attestation pour l'accès par clé
Utilise une racine de confiance matérielle
La remise des clés s'effectue via le cluster d'autorité
d'approbation
Crypter vCenter Server lors de l'utilisation de autorité
d'approbation vSphere

Une formation
Fournir aux hôtes ESXi une racine matérielle de
confiance et des capacités d'attestation à
distance
Effectuer des opérations cryptographiques sur
des VMs avec un niveau amélioré de gestion
des clés de chiffrement
Limiter la gestion des clés de chiffrement en ne
libérant les clés qu'aux hôtes ESXi attestés
Cas d’utilisation

Composants de Autorité d'approbation
vSphere

Une formation
Un utilisateur ajouté au groupe vSphere TrustedAdmins
Cet utilisateur devient l'administrateur d'autorité
d'approbation
Vous prouver utiliser un utilisateur distinct de l’utilisateur
« Administrator » en tant qu'administrateur autorité
Vous devez ajouter un administrateur d'autorité
d'approbation pour le cluster d'autorité d'approbation et
le cluster approuvé
L'appartenance au groupe est validée par ESXi à l'aide de
l'authentification par jeton SAML
Administrateur d’autorité

Services Autorité d'approbation vSphere
La configuration du cluster d'autorité d'approbation active deux services :
• Service d'attestation
• Service de fournisseur de clés

Composants ESXi
Nouveaux services exécutés sur autorité d'approbation vSphere activé pour ESXi:
• Service d'attestation (attestd)
• Service de fournisseur de clés (kmxd)
• Agent d'infrastructure de confiance (kmxa)

Une formation
Pour l'hôte approuvé ESXi :
TPM 2.0.
Le démarrage sécurisé doit être activé.
Micrologiciel EFI.
Conditions requises

Une formation
Pour le composant :
vCenter Server 7.0 ou une version ultérieure.
vCenter Server dédié pour le cluster d'autorité
d'approbation vSphere et les hôtes ESXi.
vCenter Server distinct pour le cluster approuvé
et les hôtes ESXi approuvés.
Un serveur de clés (KMS).
Conditions requises

Une formation
Les privilèges :
Aucun nouveau privilège de chiffrement.
Un utilisateur membre du groupe
TrustedAdmins, appelé administrateur de
l'autorité d'approbation.
Rôle d'administrateur d'infrastructure
approuvée.
Conditions requises

Une formation
Dans vSphere 7, activer autorité
d'approbation vSphere principalement via
PowerCLI
PowerCLI 12.1 fournit un nouvel ensemble d'applets
de commande PowerCLI
Pour exécuter les applets de commande PowerCLI,
vous devez être membre du groupe
d'authentification unique TrustedAdmins
Activation de autorité d'approbation
vSphere

Une formation
Service d'attestation : port 7889
Service du fournisseur clé : Port 7888
Agent d'infrastructure de confiance : port 7890
Ports internes utilisés

Une formation
Chiffrer une VM en appliquant une stratégie de
stockage de chiffrement
Lorsque vous ajoutez un périphérique TPM virtuel à
une VM, la VM est chiffrée
Un cluster certifié utilise un fournisseur de clé
approuvé
Utiliser une combinaison d'un fournisseur de clé
approuvé et d'un fournisseur de clé standard dans le
même environnement vSphere
Chiffrement de VM

Identification des fournisseurs de clés de
chiffrement VM

Migration d'une VM chiffrée avec un
fournisseur de clé de confiance

Une formation
Activer et configurer vSphere
Trust Authority
Alaa EL BEJJAJ

Flux de configuration vTA
1. Ajouter l'administrateur d'autorité d'approbation
au groupe TrustedAdmins sur les deux vCenter
Server.
2. Activer l'autorité d'approbation.
3. Collecter des informations sur les hôtes à
approuver et les importer dans le cluster
d'autorité d'approbation.
4. Créer le fournisseur de clés sur le cluster d'autorité
d'approbation.
5. Exporter les informations du cluster d'autorité
d'approbation.
6. Importer les informations du cluster d'autorité
d'approbation vers le cluster approuvé.
7. Configurer le fournisseur de clés approuvé pour
les hôtes approuvés.

Architecture du LAB vTA
vcsa-07a.alphorm.local
vcsa-03a.alphorm.local
Esxi-71a.alphorm.local
(ESXi avec vTPM)
KMS-AKM.alphorm.local

Une formation
Découvrir le workflow du
démarrage rapide du cluster
Alaa EL BEJJAJ

Une formation
Alaa EL BEJJAJ
Découvrir le score DRS
de la VM

Une formation
Plan
DRS dans vSphere 6.x
DRS dans vSphere 7
Score DRS de la VM
Score DRS du cluster
Démonstration

Une formation
L'algorithme d'équilibrage de charge DRS s'exécute
toutes les 5 minutes
Lorsqu’un cluster devient déséquilibré, DRS :
Identifie les migrations de VM qui améliorent
l'équilibre de charge de l'hôte
Utilise vSphere vMotion pour migrer les VM entre les
hôtes du cluster
DRS dans vSphere 6.x

L’algorithme d'équilibrage de charge DRS s'exécute toutes
les minutes
Il se base sur le score DRS de la VM pour faire des
recommandations ou pour migrer des VM :
Utilise des métriques VM pour calculer le score DRS de la VM et le
score DRS du cluster
Identifie les migrations de VM qui améliorent le score DRS de la VM
Utilise vSphere vMotion pour migrer des VM entre les hôtes du
cluster
En effectuant des migrations, DRS s'assure que les VM
reçoivent les ressources requises
Une formation
DRS dans vSphere 7

Score DRS de la VM
Le score DRS de la VM est une nouvelle métrique qui mesure l'efficacité d'exécution
d’une VM
Considérations relatives au score DRS de la VM :
Satisfaction des besoins en ressources VM
Capacité des ressources de l'hôte ESXi
DRS migre les VM vers l'hôte qui fournit le score le plus élevé et garantit une allocation équitable
des ressources à toutes les VM

Score DRS du cluster
Le score Cluster DRS est une nouvelle métrique qui fait la moyenne des scores
individuels des machines virtuelles. DRS se concentre sur l'optimisation de l'efficacité
d'exécution de la machine virtuelle plutôt que sur l'équilibre de charge de l'hôte dans
le cluster.

Une formation
Alaa EL BEJJAJ
Comprendre les VM vCLS

Une formation
Plan
Les VM Agent
Gestion des VM agent dans vSphere 6.x
Gestion des VM agent dans vSphere 7
vSphere Cluster Service
À propos des VM vCLS

Une formation
Une VM agent est une VM qui exécute une
fonction spécifique pour l'infrastructure virtuelle
Exemple
Un agent peut jouer le rôle de pare-feu, d’Anti-
Virus et collecter des informations sur les VM de
l'hôte
vCenter Server peut déployer et gérer des VM
agent à l’aide du service ESX Agent Manager
(EAM)
Les VM Agent

Gestion des VM agent dans vSphere 6.x
Les VM Agent hôte sont épinglées à un hôte ESXi
vSphere DRS ne les migre pas
vSphere HA ne les redémarre pas

Gestion des VM agent dans vSphere 7
Les VM agent du cluster sont épinglées à un cluster ESXi
vSphere DRS peut les migrer entre les hôtes ESXi du cluster
Si un hôte ESXi échoue, vSphere HA démarre toujours les VM Agent en
premier
Cette priorité de redémarrage n'est pas configurable

Déploie des VM vSphere Cluster Service (VM vCLS) sur chaque cluster géré par vCenter
Server 7.0 Update 1
Ces VMs sont déployées sur un cluster lors de la création et après l'ajout des hôtes au
cluster
Objectif
les VM vCLS fourniront des services de cluster
vSphere (vSphere HA et vSphere DRS) aux
charges de travail, même si vCenter Server est
hors ligne

Dans vSphere 7.0 U2, la fonctionnalité Services de cluster vSphere (vCLS) est activée
par défaut et s'exécute dans tous les clusters vSphere.
Les VM vCLS s'exécutent dans chaque cluster même si les services de cluster comme
vSphere DRS ou vSphere HA ne sont pas activés sur le cluster.

Les VM vCLS sont présentes dans chaque cluster
vSphere
Gérées par vCenter Server
N'ont pas de NIC ou IP attribuée
Déployées sur une banque de données partagée
lorsque cela est possible
Configurées avec 1 processeur virtuel, 128 Mo de
mémoire et 2 Go de disque (Thin)
OVA avec une installation minimale de Photon OS
Une formation

Une formation

Une formation
Découvrir les VMs vCLS
Démo
Alaa EL BEJJAJ

Une formation
Alaa EL BEJJAJ
Comprendre les partages évolutifs
des pools de ressources

Une formation
Plan
Partage de pools de ressources
La dilution du partage
Les partages évolutifs
Démo

Partage de pools de ressources
Un pool de ressources est une abstraction logique des ressources CPU et mémoire
gérées hiérarchiquement
Les partages spécifient la priorité du pool de ressources par rapport aux autres pools de
ressources

La dilution du partage
Dans vSphere 6.x, la dilution du partage se produit lorsqu'au moins deux pools de
ressources (à l'exclusion de la racine) se trouvent dans un cluster
À mesure que des VM sont ajoutées au pool de ressources, les ressources se diluent

Les partages évolutifs
Activer les partages évolutifs (Scalable Shares) pour rendre
les pools de ressources enfants évolutifs
DRS augmente et diminue dynamiquement les parts des
pools de ressources pour maintenir un ratio d'allocation de
ressources
L'algorithme de partage évolutif maintient le taux
d'allocation de ressources en additionnant les partages de
toutes les entités du pool de ressources et en multipliant par
la valeur de partages initiale spécifiée par l'utilisateur
Lorsque les partages évolutifs sont activés sur un pool de
ressources, le pool de ressources enfant devient évolutif
Une formation

Une formation
Alaa EL BEJJAJ
Découvrir le Dynamic
DirectPath I/O

Une formation
Plan
vSphere DirectPath I/O
Dynamic DirectPath I/O
Cas d'utilisation Dynamic DirectPath I/O
Exigences de Dynamic DirectPath I/O
Ajout de Dynamic DirectPath I/O

vSphere DirectPath I/O
À l'aide de vSphere DirectPath I/O, les VM peuvent accéder directement aux
périphériques physiques PCI et PCIe connectés à l'hôte ESXi
Dans les versions antérieures de vSphere (5.1 et plus) , les VM identifiaient les
périphériques PCI à l'aide de l'emplacement de bus
La VM est liée au matériel hôte
DRS ne migre pas la VM à l'aide de vSphere vMotion
vSphere HA ne redémarre pas la VM sur un hôte différent

Dynamic DirectPath I/O
Dans vSphere 7, avec vSphere DirectPath I/O dynamique, les VM peuvent identifier les
périphériques PCI en utilisant leurs noms de fournisseur et de modèle :
Un pool de périphériques PCI disponibles dans le cluster peut être attribué à la VM
À la mise sous tension, DRS effectue le placement initial de la VM sur tout hôte pouvant
fournir le périphérique PCI identifié
Vous ne pouvez pas migrer la VM à l'aide de vSphere vMotion
vSphere HA peut redémarrer la VM sur n'importe quel hôte pouvant fournir le périphérique
PCI identifié

Cas d'utilisation Dynamic
DirectPath I/O
Sur les hôtes dotés de périphériques de
relais PCI
Pour les VM qui nécessitent un
périphérique matériel attribué directement
Une formation

Exigences de Dynamic
DirectPath I/O
N'est utile que sur les hôtes disposant de périphériques
PCI
Les appareils suivants peuvent utiliser du matériel
attribuable
Périphériques d'intercommunication PCI
Périphériques d'intercommunication PCI partagés, par
exemple : GPU NVIDIA GRID
La réservation de mémoire complète est appliquée aux
VMs avec des périphériques d'intercommunication
Une formation

Ajout de Dynamic DirectPath I/O

Une formation
vCenter Update Planner
Alaa EL BEJJAJ

Une formation
Plan
Présentation de VMware Update
Planner
Les exigences de VMware Update
Planner

Récupérer des informations sur les produits VMware
associés à vCenter Server
Répertorier les mises à jour et mises à niveau
disponibles de vCenter Server
Créer des rapports d'interopérabilité
Effectuer une pré-vérification pour vérifier que votre
système répond aux exigences logicielles et
matérielles minimales pour une mise à niveau
réussie de vCenter Server
Une formation
Vmware Update Planner

Les exigences
vCenter Server 7 ou version
ultérieure
Vous devez rejoindre le
programme d'amélioration de
l'expérience client VMware
(CEIP) pour générer un rapport
d'interopérabilité ou de pré-
vérification

Une formation
Découvrir vSphere Lifecycle
Manager
Alaa EL BEJJAJ

Une formation
Plan
Introduction à vLCM
Fonctionnalités vLCM
VUM vs vLCM
Éléments des images ESXi

Une formation
Introduction à vLCM
Améliore les fonctionnalités fournies par vSphere
Update Manager dans les versions précédentes de
vSphere
Il ajoute des fonctionnalités pour gérer le cycle de
vie de l'hôte ESXi au niveau du cluster
Un service qui s'exécute dans vCenter Server

Fonctionnalités vLCM
Cycle de vie
declaratif
“Cluster ESXi”
Mise à jour
complètes
“micrologiciels”
Personnalisation
OEM
simplifiée
Cluster
Quickstart
Vérifications
HCL
automatiques
Rationaliser les Add-ons fournisseurs
OEM.
Mettre à jour le micrologiciel des hôtes et des
périphériques à partir du client vSphere
(HSM: Dell, HP, Lenovo et Hitachi).
Guide de compatibilité intégré (vSAN)
Le moteur de recommendation.
Implémenter une image d'hôte esxi
déclarative dès le depart lors de la
création d’un cluster.
Appliquer la cohérence de l'hôte pour :
 Les versions d’ESXi (Build)
 Les add-ons fournisseur
 Le micrologiciel et les pilotes

Fonctionnalité
vSphere Update
Manager
vSphere Lifecycle
Manager
Mettre à niveau et patch les hôtes ESXi ✓ ✓
Installer et mettre à jour des logiciels tiers sur les hôtes ESXi ✓ ✓
Gérer les mises à jour de VMware Tools ✓ ✓
Gérer les mises à niveau matérielles des machines virtuelles ✓ ✓
Standardiser l'utilisation d'une seule image sur tout un cluster ✓
Installer la version ESXi requise sur un cluster entier ✓
Installer et mettre à jour des logiciels et micrologiciels tiers sur
l'ensemble d'un cluster
✓
Gérer les mises à jour du firmware et des pilotes Pilotes uniquement ✓

Une image ESXi se compose de plusieurs
éléments
Pour maintenir la cohérence, appliquer une
seule image ESXi à tous les hôtes d'un
cluster
Éléments des images ESXi

Avec chaque version de vSphere, VMware vous
fournit une image de base contenant les
correctifs et améliorations du logiciel ESXi
L'image de base est l'ensemble des composants
nécessaires pour démarrer un hôte ESXi
L'image de base ESXi

Le regroupement logique d'un ou de plusieurs
VIBs encapsulant une fonctionnalité dans ESXi
La plus petite unité utilisée par vLCM pour
installer VMware et des logiciels tiers sur les
hôtes ESXi
Peut contenir un ou plusieurs VIB
À partir de vSphere 7, vous mettez à niveau des
composants, pas des VIB
Les composants

Ensemble de composants utilisés pour
personnaliser une image de base ESXi
Il peut ajouter, mettre à jour ou supprimer
des composants qui font partie de l'image
de base ESXi
L'ajout d'un module complémentaire de
fournisseur à une image de cluster est
facultatif
Les modules complémentaires des
fournisseurs

Un module complémentaire fourni par le
fournisseur
Il contient les composants encapsulant les
packages de mise à jour du micrologiciel et les
pilotes nécessaires
Un plug-in Hardware Support Manager pour
la famille de serveurs respective est nécessaire
(Ex : OMIVV)
Les modules complémentaires des
micrologiciels et des pilotes

Une formation
Découvrir les améliorations vLCM
dans vsphere 7 U1
Alaa EL BEJJAJ

Une formation
Plan
Intégration NSX-T Data Center à
vLCM
vLCM et intégration vSAN
Les groupes d'hôtes
Mise à niveau basée sur la priorité
Validation HCL pour vSAN

vSphere 7 Update 1 prend en charge l'interopérabilité entre NSX-T Data Center et
vSphere Lifecycle Manager
Lors de l'enregistrement de vCenter Server dans NSX Manager, vous devez vous
assurer que le paramètre Activer la confiance (Enable Trust) est activé
vLCM crée un dépôt interne et télécharge le bundle VIB NSX LCP (Local Control
Plane) à partir de NSX Manager
Intégration NSX-T Data Center à vLCM

Intégration NSX-T Data Center à vLCM

NSX-T Data Center 3.x
vCenter Server 7 Update 1
ESXi 7 Update 1
vSphere Distributed Switch 7.0.0
Exigences

Une formation
vLCM et intégration vSAN
Nouvelles améliorations et intégrations entre
vSphere Lifecycle Manager et vSAN :
Mises à niveau prenant en charge les domaines de
pannes
Validation automatique de la liste de compatibilité
matérielle VMware (HCL)

Une formation
Mises à niveau des domaines de
pannes
vLCM peut mettre à niveau un cluster vSAN et
maintenir la disponibilité des données :
vLCM reconnaît les domaines de pannes vSAN
Donne la priorité aux domaines de pannes vSAN
préférés pendant les opérations du cycle de vie
Il est compatible avec les clusters étendus vSAN

Une formation
Domaine de pannes vSAN
Les domaines de pannes vSAN sont configurés en fonction
du cas d'utilisation :
Cluster standard
Plusieurs domaines de pannes sont créés au sein d'un seul
cluster
Cluster à deux nœuds
vSAN est configuré avec deux nœuds de données et un
nœud témoin sur un site distinct
Cluster étendu
vSAN est configuré sur des hôtes couvrant plusieurs sites
physiques

Rack 4
Domainede pannes 4
Rack 3
Domainede pannes 3
Rack 2
Domainede pannes 2
Rack 1
Domainede pannes 1
Cluster vSAN Standard
1 2 3 4
Cluster vSAN Standard

Site secondaire
Domaine de pannes 2
Site préféré
Domaine de pannes 1 1
Cluster étendu
2
Cluster étendu

Une formation
Exécution d'opérations de cycle
de vie avec vLCM
Cluster étendu
Mise à niveau des hôtes du domaine de pannes
préféré avant les hôtes du domaine de pannes
secondaire
Cluster standard
Mise à niveau de tous les hôtes d'un domaine de
pannes en premier, avant de passer au domaine de
pannes suivant

Sont les domaines de pannes
Ils agissent comme des groupements logiques extensibles
Sont triés par priorité, en fonction de la configuration, et sont corrigés séquentiellement
Les groupes d'hôtes
Rack 4
Domaine de pannes 4
Rack 3
Domaine de pannes 3
Rack 2
Domaine de pannes 2
Rack 1
Domaine de pannes 1
1 2 3 4
Groupe d’hôtes Groupe d’hôtes Groupe d’hôtes Groupe d’hôtes
VCSA - vLCM

Cluster étendu ou à deux nœuds :
Les domaines de pannes désignés comme préférés sont mis à niveau en premier

Cluster standard :
Le domaine de pannes avec le moins d'hôtes non conformes est mis à niveau en premier

Validation HCL automatique du cluster se produit en
fonction de la tâche
Valider le cluster avant d'appliquer l'image souhaitée
Valider le cluster si l'image souhaitée change
Invalider le cluster si un hôte est ajouté ou supprimé
Valider périodiquement selon un calendrier défini
Validation HCL pour vSAN

Une formation
Découvrir les améliorations vLCM
dans vSphere 7 U2
Alaa EL BEJJAJ

Une formation
Plan
vSphere avec Tanzu et vLCM
Support de Hitachi HCI
Bootstrap un cluster VSAN
Quick boot et Interruption sur la
mémoire

Une formation
À partir de vSphere 7 Update 2, vous pouvez
activer vSphere avec Tanzu sur un cluster
compatible vLCM.
Le plan de contrôle de la charge de travail (WCP)
exploite vLCM pour gérer le cycle de vie du cluster
de superviseur.

Une formation
Installation :
vLCM installe le Spherelet VIB sur chaque hôte
ESXi du cluster.
L'image vLCM souhaitée est également mise à
jour avec la version Kubernetes fournie avec
vCenter Server.

Une formation
Mise à niveau :
Vous pouvez mettre à jour la dernière version de
vSphere avec Tanzu, y compris :
L'infrastructure vSphere avec les clusters Tanzu.
Les versions Kubernetes.
Les outils CLI Kubernetes.

Une formation
Ajouter un nouvel hôte à un cluster :
vLCM installe le VIB Spherelet et les VIB pris en
charge sur l'hôte.
Une fois l'installation terminée, le vSphere avec
Tanzu configure le processus Spherelet afin que
l'hôte nouvellement ajouté puisse désormais
exécuter des conteneurs de manière native sur
l'hôte ESXi.

Une formation
Support de Hitachi HCI
Prise en charge de vLCM pour le modèle de
nœuds Hitachi HCI ready, qui permet aux
clients Hitachi de tirer parti de la gestion du
cycle de vie en un clic des composants ESXi
et matériels.

Quick boot et Interruption sur la mémoire

Une formation
Travailler avec vSphere
LifeCycle Manager
- Démo
Alaa EL BEJJAJ

Une formation
Utiliser l'image ESXi
- Démo
Alaa EL BEJJAJ

Une formation
Découvrir les conteneurs
Alaa EL BEJJAJ

Une formation
Plan
VMs et conteneurs
Types des hôtes de conteneur
Flux de travail de conteneur
Moteurs de conteneurs
Dockerfile
Images de conteneurs
Registre d'images

VMs et conteneurs
Machines virtuelles Conteneurs
Encapsulation d'un système d'exploitation
entier
Encapsulation d'une application et des
binaires ou bibliothèques dépendants
Programmé par l'hyperviseur Planifié par le système d'exploitation hôte
du conteneur
Exécuter sur l'hyperviseur Exécuter sur le système d'exploitation hôte
du conteneur
Démarrer une VM signifie démarrer un
système d'exploitation (de quelques
secondes à quelques minutes)
Démarrer un conteneur signifie démarrer
le processus d'application (de
millisecondes à secondes)

Types des hôtes de conteneur
Système d'exploitation standard avec un moteur de conteneur
installé
Ubuntu avec Docker
OS développé spécifiquement avec les conteneurs
Photon
CoreOS
VM ou machine physique : la facilité de gestion et l'évolutivité
sont parmi les nombreux avantages de l'utilisation des machines
virtuelles
Dans vSphere with Tanzu, les hôtes de conteneur sont des VM
basées sur Photon
Une formation

Flux de travail de conteneur
Créer une image à partir du code source et des dépendances
Envoyer l'image au registre d'images
Prendre l'image du registre d'images
Exécuter l'image en tant que conteneur

Moteurs de conteneurs
Créer des images de conteneur à partir du code source (par exemple, Dockerfile)
Charger des images de conteneur à partir d'un référentiel
Créer des conteneurs en cours d'exécution basés sur une image de conteneur
Valider un conteneur en cours d'exécution dans une image
Enregistrer une image et transférez-la dans un référentiel
Arrêter et retirer les conteneurs
Suspendre et redémarrer les conteneurs
Signaler l'état du conteneur

Dockerfile
Dockerfile est un fichier texte brut qui déclare comment créer une image
Dockerfile est similaire au code source d'une image
Utiliser la commande BUILD pour créer une image à partir de Dockerfile

Images de conteneurs
Les images de conteneur sont comparables à un modèle de
VM
Caractéristiques
Contiennent le code d'application et les dépendances
d'application
Sont construites à l'aide d'un système de fichiers en
couches et peuvent être constitués d'une ou plusieurs
couches
Les images Docker sont créées à l'aide d'un Dockerfile
Chaque ligne d'un Dockerfile représente une couche dans
une image de conteneur

Registre d'images
Les images de conteneurs sont stockées dans un registre d'images central
Le registre d'images gère plusieurs versions d'images de conteneurs
Les moteurs de conteneur peuvent prendre des images à partir d'un registre d'images pour les
exécuter
VMware Harbor :
Signature d'images
Analyse de vulnérabilité

Une formation
Découvrir Kubernetes
Alaa EL BEJJAJ

Une formation
Plan
Problèmes résolus par Kubernetes
Architecture de Kubernetes
Les manifestes, les pods, les déploiements,
les ReplicaSets et les services
Les politiques de réseau
Flux de travail Kubernetes

Problèmes résolus par Kubernetes
Avec Docker, les conteneurs sont gérés sur un seul
hôte de conteneur
La gestion de plusieurs conteneurs sur plusieurs
hôtes de conteneurs crée de nombreux problèmes :
Gérer un grand nombre de conteneurs
Redémarrage des conteneurs défaillants
Mise à l'échelle des conteneurs pour répondre à la capacité
Mise en réseau et équilibrage de charge
Kubernetes (K8s) fournit une couche d'orchestration
pour résoudre ces problèmes
Une formation

Architecture de Kubernetes
Chaque composant de l'architecture Kubernetes se concentre sur une tâche,
augmentant l'utilisation des ressources, la fiabilité et la cohérence.

Une formation
Dans Kubernetes, les fichiers manifestes
déclarent l'état souhaité des objets
Les manifestes ont les propriétés suivantes:
Format YAML
Configuration déclarative
Primitives API souhaitées
Kubernetes gère la création des primitives
demandées
Les manifestes

Les pods
Un pod est un ensemble d'un ou plusieurs conteneurs
étroitement couplés
Il s'agit de la plus petite unité de travail de Kubernetes
Les conteneurs dans un pod démarrent et s'arrêtent
ensemble

Les déploiements
Un déploiement est la primitive la plus
couramment utilisée :
Déclare si les pods peuvent être mis à niveau et s'ils
peuvent être corrigés sans interrompre les services
Fournit des mises à jour progressives en créant des
ReplicaSets et en détruisant les anciens ReplicaSets
Permet de déployer une nouvelle version d'une image
sans temps d'arrêt

Les ReplicaSets
Un ReplicaSet déclare comment la fonctionnalité d'un
pod est rendue évolutive et résiliente grâce à la
redondance
Le ReplicaSet garantit qu'un nombre spécifié de pods
est maintenu en cours d'exécution

Les services
Un service décrit comment les pods découvrent et
communiquent entre eux et avec les réseaux externes
Un service expose un déploiement en tant qu'adresse
IP unique
Une adresse IP de service est exposée via l'un de ces
types de service :
ClusterIP
NodePort
LoadBalancer
ExternalName

Les politiques de réseau
Une stratégie réseau est une spécification de la
manière dont les groupes de pods sont autorisés à
communiquer entre eux et avec les autres points de
terminaison du réseau
La stratégie déclare des règles pour le trafic entrant et
sortant

Exemple de flux de travail Kubernetes
L'exemple de flux de travail montre comment un développeur peut utiliser
Docker pour créer une image localement, stocker l'image dans un registre et
utiliser Kubernetes pour gérer l'exécution du conteneur

Une formation
Explorer vSphere avec Tanzu
Alaa EL BEJJAJ

Une formation
Plan
À propos de vSphere avec Tanzu
VMware Cloud Foundation with Tanzu
Types de déploiement vSphere with Tanzu
Cluster de superviseurs
Licenses vSphere with Tanzu

À propos de vSphere with Tanzu
vSphere with Tanzu intègre Kubernetes directement dans vSphere et constitue la base
du portefeuille VMware Tanzu pour l'exécution de Kubernetes
Unit vSphere et Kubernetes
Étend vSphere pour toutes les applications modernes
Prend en charge la collaboration entre le développement et les opérations informatiques (DevOps)

À propos de vSphere with Tanzu
vSphere avec Tanzu transforme vSphere en une plate-forme Kubernetes native.

VMware Cloud Foundation with Tanzu

Types de déploiement vSphere with Tanzu
vSphere avec Tanzu sur NSX-T Data
Center :
 Mise en réseau et sécurité de NSX-T
 Service de réseau Tanzu Kubernetes
 Service de pod vSphere
 Service réseau
 Service de stockage
 Registre (Harbor registry)
vSphere avec Tanzu sur vDS :
 Commutateur distribué vSphere
 Service de réseau Tanzu Kubernetes
 Service réseau (prise en charge d'un
équilibreur de charge externe)
 Service de stockage

Une formation
Découvrir les services et
composants de vSphere avec
Tanzu
Alaa EL BEJJAJ

Une formation
Plan
Les VM du Plan de contrôle
Réseau du plan de contrôle
Spherelet
Container Runtime Executive (CRX)
Les pods natifs vSphere
Comparaison de vSphere Pods avec Kubernetes
À propos des namespaces
Tanzu Kubernetes Grid Service

Les VM du plan de contrôle exécutent des services d'infrastructure et des pods pour le
cluster de superviseur, similaires aux nœuds maîtres Kubernetes
Les VM du Plan de contrôle

Réseau du plan de contrôle
La gestion de vSphere Client est accessible à partir du réseau de gestion à l'aide d'une
adresse IP flottante
La communication etcd entre chaque VM du plan de contrôle utilise le réseau de
gestion
Les développeurs accèdent à l'infrastructure à l'aide d'une adresse IP virtuelle
Le plan de contrôle communique avec les pods à l'aide d'un réseau de cluster

Une formation
Spherelet exécute les fonctions suivantes :
Communique avec les VM du plan de contrôle
Gère la configuration des nœuds
Démarre les pods natifs vSphere
Surveille les pods natifs vSphere
Spherelet

À propos de CRX
Container Runtime Executive (CRX) est intégré à
ESXi
Noyau Linux Photon paravirtualisé
Même virtualisation matérielle, limites et isolation
que les machines virtuelles

Avec les pods natifs vSphere, les charges
de travail ont les capacités suivantes :
Isolation forte d'un noyau Linux basé sur Photon
OS
Gestion des ressources à l'aide de DRS
Haute performance à partir du même niveau
d'isolation des ressources que les machines
virtuelles
Compatible avec Open Container Initiative (OCI)
Les pods natifs vSphere

Réseau et stockage vSphere Native Pods
Les types de stockage sont :
• Les disques de machine virtuelle éphémères (VMDK)
• Les VMDK de volume persistent
• Les VMDK d'image de conteneurs
Les stratégies de stockage pour l'image de conteneur
et les disques éphémères sont définies au niveau du
cluster
Les politiques de stockage pour les volumes
persistants sont définies au niveau de l'espace de
noms
La mise en réseau pour les pods natifs vSphere utilise
la topologie fournie par NSX

L'architecture vSphere avec Tanzu diffère légèrement de l'architecture
Kubernetes
La principale différence est qu'ESXi devient un nœud Kubernetes
Comparaison de vSphere Pods avec Kubernetes

Les espaces de noms prennent en charge l'accès multi-utilisateur
Les ressources sont contrôlées à l'aide de quotas de ressources
L'administrateur vSphere peut contrôler les quotas et l'accès à partir de
vSphere Client
À propos des namespaces

Les conteneurs ont besoin d'un référentiel pour stocker leurs images
vSphere with Tanzu intègre le registre d'images Harbor dans vSphere
Chaque espace de noms du cluster de superviseurs se voit attribuer son
propre projet dans le registre Harbor
Registre des conteneurs

Le service Tanzu Kubernetes Grid pour vSphere active un cluster VMware
Tanzu Kubernetes qui s'exécute à l'intérieur de machines virtuelles dans un
namespace dans le cluster de superviseur
Avec ce service, les développeurs peuvent contrôler leur propre cluster
Kubernetes isolé
Le service Tanzu Kubernetes Grid

Une formation
Préparer le cluster vSphere
pour vSphere with Tanzu
- Démo
Alaa EL BEJJAJ

Architecture du LAB
Workload Network 172.172.172.0/24
Management Network 192.168.1.0/24
.12
.11
.10
.13 .14
Esxi-02a
Esxi-01a Esxi-03a Esxi-04a
VCSA-01a
HaProxy
VyOS-Router
.127
.127

Une formation
Workflow administrateur vSphere

Une formation
Workflow ingénieur Devops

Une formation
Créer une politique de
stockage vSphere with Tanzu
- Démo
Alaa EL BEJJAJ

Une formation
Créer la bibliothèque de
contenu Tanzu
- Démo
Alaa EL BEJJAJ

Une formation
Déployer et configurer
l'équilibreur de charge Tanzu
(HA Proxy)
- Démo
Alaa EL BEJJAJ

Une formation
Configurer vSphere avec Tanzu
Workload Management
- Démo
Alaa EL BEJJAJ

Une formation
Créer un espace de noms
- Démo
Alaa EL BEJJAJ

Une formation
Tester l'espace de noms
vSphere à l'aide de kubectl
- Démo
Alaa EL BEJJAJ

Une formation
Gérer vSphere with Tanzu
Démo
Alaa EL BEJJAJ

Une formation
Conclusion
Alaa EL BEJJAJ

Une formation
Reconnaître les améliorations du stockage
Comprendre les améliorations de la sécurité
Reconnaître les améliorations du cluster vSphere
Décrire les améliorations de la gestion de cycle de
vie vSphere 7
Reconnaître vSphere avec Tanzu
Bilan

Alphorm.com Formation VMware vSphere 7 : What's New 2/2

Alphorm.com Formation VMware vSphere 7 : What's New 2/2

Recommandé

Recommandé

Contenu connexe

Tendances

Tendances (20)

Similaire à Alphorm.com Formation VMware vSphere 7 : What's New 2/2

Similaire à Alphorm.com Formation VMware vSphere 7 : What's New 2/2 (20)

Plus de Alphorm

Plus de Alphorm (20)

Alphorm.com Formation VMware vSphere 7 : What's New 2/2