IBM Cloud Docs
VMware 实例的部署后注意事项

VMware 实例的部署后注意事项

IBM Cloud® for VMware Solutions 产品不是受管服务。 您负责所有软件组件的配置、安全性、管理和监视。 借助对解决方案的完整管理访问权,您拥有强大的能力和灵活性,这需要在各种领域具备丰富的技术、管理和运作专业知识。 在 IBM Cloud 中管理 VMware® 实例需要与规划本地实例相同的规划和专业知识。 软件定义技术(如 VMware NSX®和 VMware vSAN™ )大大简化了实例管理的某些方面,但可能需要新的技能和工具才能进行正确的管理和操作。 将 IBM Cloud 自动化 VMware 部署的能力、速度和可靠性与相应的操作规划和测试相结合,可确保快速成功地实现混合云。

请查看以下注意事项,了解在部署实例前后您对管理和操作实例所负的责任。

IBM Cloud 帐户访问

要管理 IBM Cloud 帐户,请在 IBM Cloud for VMware Solutions 控制台中授予团队其他成员访问实例的权限。 有关更多信息,请参阅邀请用户访问服务和资源

限制

请熟悉实例的以下限制:

网络设计和连接

完成以下步骤以管理对 IBM Cloud 网络和 VMware 管理组件的访问权,并规划 IBM Cloud 网络拓扑。

  • 使用 IBM Cloud VPNIBM Cloud Direct Link 访问实例管理端点。
  • 设计从实例内部建立公用网络连接的策略。 您的选择包括示例客户 VMware NSX Edge™ 服务网关 (ESG)、网关设备(如 Vyatta 和 FortiGate, )以及部署在 IBM Cloud 网络或您自己的网络(通过 Direct Link 访问)上的代理服务器。
  • 计划是在 IBM Cloud VLAN 上部署工作负载,还是在 IBM Cloud 可移植 IP 地址在 NSX-T 逻辑交换机上使用自己的 IP 地址 上部署工作负载。 当您使用NSX软件定义网络(SDN)时,它能够为您提供最大的灵活性,以管理和保护您的 IBM Cloud 工作负载网络。
  • 使用NSX ESG 、IBM Cloud Vyatta 和 Direct Link 对等连接来规划与工作负载的连接(网络地址转换、虚拟专用网络、路由)。
  • 如果您部署了 Cross-vCenter NSX,在部署任何本地工作负载之前,请确保您的本地段ID范围不重叠。

安全性规划和强化

您有责任确保您的 VMware 实例和工作负载的安全、加密和监控,以满足您的公司、行业和监管标准。 完成以下步骤以确保适当的安全性。

  • 请更改 IBM Cloud for VMware Solutions 控制面板中显示的所有密码,并使用您自己的密码管理系统。 IBM 保留持续自动化和支持所需的唯一用户ID。
  • 复查所有组件上的密码策略,例如复杂性和到期时间段。
  • 复查所有组件上的加密设置。
  • 规划和实施适当的物理或虚拟防火墙解决方案,例如NSX分布式防火墙(DFW)、NSX ESG 、FortiGate 虚拟设备IBM Cloud Vyatta
  • 规划并实施相应的应用程序负载均衡和安全性解决方案,例如 F5 BIG-IP
  • 规划和实施适当的安全信息和事件管理(SIEM)解决方案,例如 IBM Security QRadar SIEM
  • 规划并实施相应的漏洞扫描。

定制

完成以下步骤以根据您的需求定制基本 VMware 实例安装。

  • 使用您自己的证书颁发机构(CA)为 vCenter 和NSX Manager等组件生成证书。
  • 配置部署的服务。 例如
    • 对于 Zerto,由于不支持网络地址转换程序 (NAT) 遍历,因此请规划 Zerto Virtual Replication Appliance (VRA) 通信的 IP 寻址和路由。 请考虑使用隧道或重新部署 VRA,以便执行相应的寻址和路由。
    • 对于Veeam®和 IBM Spectrum® Protect Plus 等备份服务,请配置备份任务,可选配置额外存储,并配置监控警报。
    • 对于网络和安全服务,例如 F5® BIG-IP和 FortiGate 虚拟设备,请根据您的网络拓扑和其他要求配置网络接口、证书、高可用性(HA)配置和规则。

Active Directory

完成以下步骤以确保配置和管理正确的单点登录 (SSO)。

  • 配置 Active Directory® (AD)服务器更新和重启计划。
  • 如果您选择在 VMware vSphere® 集群中部署AD服务器,请为服务器提供 Microsoft® Windows® 许可和激活,以确保合规性和可用性。
  • 在实例与内部部署 AD 服务器之间建立相互信任。
  • 将 NSX VPN(如果适用)与 AD SSO 相集成。
  • 将 VMware ESXi®主机与AD SSO集成。

维护规划

完成以下步骤以确保正确规划软件维护。

  • 通过代理设置 VMware Update Manager (VUM) 以获取 VMware 更新。
  • 如果适用,请通过代理设置 vSAN,以维护 vSAN 硬件兼容性列表 (HCL) 数据库。
  • 针对 VUM 不支持的 VMware 组件,规划常规维护。 例如,VMware vCenter 和 NSX。
  • 复查 vSphere Enhanced vMotion Compatibility (EVC) 配置。 如果当前版本的 vSphere 不支持 EVC 用于您的硬件级别,那么说明您的集群可能未配置为启用 EVC。
  • 为附加服务(如Veeam、Zerto和 F5 BIG-IP)制定定期维护计划。

Monitoring

确保规划并实施以下解决方案来监视实例和实例组件。

  • 日志记录服务器,包括所有实例组件的日志转发或收集,以及充分的日志保留时间。 VMware Aria Operations 和 VMware Aria Operations for Logs 产品可帮助您实现日志管理和可见性。
  • 警报基础架构,包括根据需要配置 SMTP 服务器和短消息服务 (SMS) 网关。
  • 主动监控主机、硬盘、管理软件和网络,包括vSAN监控(如适用)。 VMwareIBM Cloud 产品可帮助您操作和监控 VMware环境的性能、健康状况和容量。
  • 容量监视和规划。 您可以通过 IBM Cloud for VMware Solutions 控制台为您的实例 添加群集删除群集添加主机删除主机
  • 监视备份基础架构和备份作业。
  • vSphere 分布式交换机健康检查默认已启用,可生成大量 MAC 地址用于测试团队策略、MTU 大小和 VLAN 配置,从而导致额外的网络流量。 禁用此健康检查,仅在网络故障排除需要时重新启用。 有关详细信息,请参阅 vSphere 分布式交换机健康检查

业务连续性和可用性

您的 VMware 实例在 IBM Cloud 裸机服务器上运行。

请完成以下步骤,以确保您为HA和业务连续性制定了充分的计划。

  • 根据您的需求,复查 vSphere HA 和 vSphere 分布式资源调度程序 (DRS) 配置。
  • 根据您的需求,复查网络和 Storage I/O Control 配置。
  • 根据您的需求,配置虚拟机启动顺序。
  • 根据需要配置资源池以用于管理和工作负载。
  • 规划、实施和监视用于实例管理组件和工作负载的备份解决方案。
  • 实例管理的HA计划,包括多个实例、多个集群、vCenter HA的可能性。
  • 使用 Zerto 灾难恢复Veeam 备份和复制 等解决方案来规划工作负载的业务连续性。

存储规划

除了容量规划之外,请完成以下操作,以确保存储器配置满足性能和可用性需求。

  • 存储性能取决于多种因素,包括RAID配置和磁盘条带化、网络配置、数据块大小、为网络连接存储配置的IOPS(每秒输入/输出操作数)、虚拟机硬件配置和存储连接方法、集群和复制方法,以及加密、重复数据删除和压缩等存储策略的使用。 规划用于测试和调整配置以满足存储性能需求的时间。
  • 复查 vSAN 存储策略
    • 与RAID 5相比,RAID 1的性能更好,且发生连续故障的可能性更小,例如重建时间更短。 不过,RAID 5 的存储开销较小。
    • RAID 6 可提供双重故障保护,但需要至少六个主机,而 RAID 5 只需四个主机。
  • 要向 vSAN 集群添加更多存储器,必须向集群添加新的主机或改为添加 IBM Cloud 耐久性 NFS 存储器。 目前不支持向现有主机添加磁盘。
  • 如果您在集群上安装了额外的 IBM Cloud Endurance NFS 存储,请确保遵循架构指南,并配置主机路由,使其使用集群的 NFS 端口组地址访问存储。 必须将这些地址(而不是主机本身)授权给存储器。 有关更多信息,请参阅连接的存储器基础架构管理