buchachon - Fotolia

vSphere: Darauf muss man bei Installation und Betrieb achten

Unternehmen, die auf VMware vSphere zur Virtualisierung setzen, sollten beim Einsatz einige Punkte beachten. Wir geben einige Hinweise auf typische Stolperfallen.

Eine gewählte Option bei der Installation oder der Konfiguration von vSphere kann durchaus signifikante Folgen haben. Nachfolgend haben wir einige Punkte und Aspekte zusammengefasst, die erfahrungsgemäß bei entsprechenden Umgebungen zu Problemen führen können.

Geht es um die Aktualisierung auf VMware vSphere 6.7, oder generell die Installation, müssen die entsprechenden Voraussetzungen beachtet werden.

Aktualisierungspfad berücksichtigen

Wenn Unternehmen eine Umgebung auf VMware vSphere 6.7 aktualisieren wollen, so ist dies erst ab vSphere 6.0 möglich. Die Reihenfolge der Aktualisierung ist gleichfalls entscheidend. Nach der Aktualisierung sollte ebenfalls geplant werden, wie die Umgebung in Zukunft verwaltet werden soll. Ideal ist die vCenter Appliance. Der Nachfolger von vSphere 6.7 wird keine Windows-Version von vCenter mehr zur Verfügung stellen. Es bietet sich also an, bereits bei der Aktualisierung zu vSphere 6.7 auch auf die vCenter Appliance zu setzen.

Eventuelle Probleme bei der Aktualisierung berücksichtigen

Werden Virtualisierungs-Hosts zu einer neuen Version aktualisiert, überschreibt der Host Einstellungen durch die Aktualisierung, zum Beispiel bezüglich der Authentifizierung. Administratoren sollten nach der Aktualisierung alle wichtigen Einstellungen überprüfen. Besonders wichtig sind hier die Netzwerkeinstellungen, denn diese werden oft zurückgesetzt. Außerdem kann es passieren, dass durch die Aktualisierung die Reihenfolge der Netzwerkverbindungen verändert wird.

Während der Aktualisierung werden zudem die Einstellungen der virtuellen Switches verändert. Vor allem die Ausfallsicherheit von virtuellen Switches macht bei der Aktualisierung manchmal Probleme. Auch der Zugriff auf externe Datenspeicher sollte überprüft werden.

Grundsätzlich kann es passieren, dass während der Aktualisierung alle selbst angepassten Optionen auf die Standardwerte geändert werden. Das gilt auch für die Einstellungen der Uhrzeit und DNS-Konfigurationen. Die Startreihenfolge der virtuellen Server sollte ebenso überprüft werden.

Das Gleiche gilt für Einstellungen der Firewall sowie die erweiterten Einstellungen der virtuellen Server. Ressourcen-Pools sollten ebenfalls kontrolliert werden. Hier kann es nach der Aktualisierung passieren, dass einzelnen virtuellen Servern nicht genügend Ressourcen zur Verfügung stehen und Server daher nicht starten können.

Netzwerke richtig planen

vSphere ist sehr flexibel, wenn es um die Einrichtung von virtuellen Netzwerken geht. Hier sollte vorher gut geplant werden, welche Netzwerke zum Einsatz kommen sollen.

Virtuelle Netzwerke müssen in vSphere richtig geplant werden.
Abbildung 1: Virtuelle Netzwerke müssen in vSphere richtig geplant werden.

Um Netzwerke in virtuellen Umgebungen mit vSphere optimal zu betreiben, sollten die physischen Switches idealerweise redundant ausgelegt sein. Da die physischen Switches die Grundlage des Netzwerkverkehrs darstellen, sind diese wichtig für den stabilen Betrieb von vSphere. In einer idealen Umgebung betreiben Sie auf den Virtualisierungs-Hosts mehrere virtuelle Switches, die auf mehrere physische Netzwerkadapter zurückgreifen. Dadurch wird der Netzwerkverkehr einzelner Schnittstellen entlastet. Natürlich sollten auch die VMs nicht nur mit einem einzelnen virtuellen Switch verbunden sein, sondern ebenfalls verschiedene virtuelle Switches nutzen, damit es auch hier keinen Single Point of Failure (SPoF) gibt.

Storage DRS mit vSphere

Die generelle Funktion von Storage DRS entspricht der DRS-Funktionalität für Hosts. Wenn die Leistung eines Datenspeichers zu stark beansprucht wird, kann vSphere einzelne VMs in einen anderen Datenspeicher verschieben. Dadurch werden stark verwendete Datenspeicher entlastet, während nicht so stark ausgelastet Datenspeicher in das System besser eingebunden werden. Das Storage DRS bietet die Möglichkeit, Ressourcen-Pools für Datenspeicher zu erstellen, welche generell die gleichen Funktionen haben wie die Ressourcen-Pools für Hosts.

iSCSI-, NFS-, Fibre-Channel-Speicher anbinden

Neben der Möglichkeit, lokalen Datenspeicher an die einzelnen ESXi-Hosts anzubinden, können auch Datenspeicher über den Netzwerkadapter angesprochen werden. In diesem Fall muss darauf geachtet werden, dass die virtuellen Switches entsprechend konfiguriert sind, und zum Beispiel für den VMkernel-Port ein Netzwerkadapter hinterlegt ist. Administratoren haben die Möglichkeit mit einem Software-iSCSI-Adapter in VMware zu arbeiten, oder sie binden die ESXi-Server mit einem Hardware-Adapter (HBA) an. Das ist auch generell der empfohlene Weg.

Hochverfügbarkeit bei vSphere beachten

Fällt ein Host aus, sind alle virtuellen Server auf dem Host beeinträchtigt. Es lohnt sich rechtzeitig darauf zu achten, den Host hochverfügbar abzusichern. Hier bietet vSphere verschiedene Möglichkeiten an, um einen Cluster aufzubauen. Auch kleine Unternehmen sollten darauf achten.

Die Hochverfügbarkeit spielt in VMware vSphere eine wichtige Rolle
Abbildung 2: Die Hochverfügbarkeit spielt in VMware vSphere eine wichtige Rolle

vSphere und Active Directory

Setzen Unternehmen vSphere in einer Umgebung mit Active Directory ein, können sie die Authentifizierung am Server auch über die Domänencontroller ablaufen lassen. Dazu muss der vSphere-Host mit dem Active Directory verbunden werden. In größeren Umgebungen werden die einzelnen ESXi-Hosts nicht einzelnen an das Active Directory angebunden, sondern verwenden den vSphere Authentication Proxy. Dieser muss richtig konfiguriert sein, damit die Authentifizierung funktioniert. Durch die Verwendung des vSphere Authentication Proxy wird die Sicherheit deutlich erhöht, da die einzelnen Hosts die Anmeldedaten nicht mehr speichern müssen. Sobald die die Anmeldung vorgenommen wurde, ist bei den kürzlich bearbeiteten Aufgaben zu sehen, ob die Anbindung funktioniert hat oder nicht.

Benutzer verwalten und Rollen zuweisen

Wenn vCenter installiert wird, muss auch eine Single-Sign-On-Domäne (SSO) angelegt werden. Diese ermöglicht es, dass zentral Benutzer und Gruppen angelegt werden können, die wiederum alle angebundenen Hosts verwalten dürfen. Im Active Directory sollte in vSphere am besten mit Gruppen gearbeitet werden. Dazu werden die Rollen so angelegt, wie diese im Netzwerk benötigt werden. Rollen werden den entsprechenden Gruppen zugeordnet. Dadurch können neue Benutzer hinzugefügt werden, ohne jedes Mal Rechte anpassen zu müssen.

Kennwortrichtlinien bearbeiten

Es muss darauf geachtet werden, dass Administratoren sichere Anmeldedaten nutzen, um ESXi-Hosts oder vCenter zu verwalten. Standardmäßig ist vSphere bereits so konfiguriert, dass sich die verwendeten Kennwörter nicht ohne weiteres auslesen lassen. Und vSphere ist bereits so eingerichtet, dass die Kennwörter komplex sein müssen. Verwenden Administratoren zu einfache Kennwörter, erhalten sie eine entsprechende Fehlermeldung. Die Richtlinie sollte aber überprüft werden. Hier lassen sich wichtige Änderungen bezüglich der Sicherheit vornehmen.

Virtuelle Maschinen härten

Grundsätzlich ist das Gastbetriebssystem in einer VM genauso angreifbar wie das Betriebssystem auf einem herkömmlichen Server. Das Gastbetriebssystem sollte daher gehärtet werden. Zusätzlich können auch Sicherheitseinstellungen in vSphere gesetzt werden.

Während es bei der Härtung des virtuellen Betriebssystems darum geht, dass das Betriebssystem selbst nicht angegriffen wird, können Administratoren über die Absicherung der eigentlichen VM sicherstellen, dass keine unberechtigten Änderungen an der Systemstruktur einer VM durchgeführt werden.

Folgen Sie SearchDataCenter.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Tipps für die Administration von vSphere

Affinitätsregeln in VMware vSphere DRS anwenden

vSphere: Workload-Management mit DRS-Regeln

Artikel wurde zuletzt im September 2018 aktualisiert

Erfahren Sie mehr über Virtuelle Maschinen: Monitoring, Fehlerbehebung, Alerting

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchSecurity.de

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

Close