mercredi 27 mars 2019

vCenter HA - Mode avancé

INTRODUCTON
Nous l'avons vu dans mon précédent article sur VCHA, il existe 2 modes de déploiement:
- basique
- avancé

Afin de compléter mon précédent article, voici un cas d'usage nous obligeant à opter pour le déploiement en mode avancé de VCHA.

CONTEXTE
Chez mon client, nous avons voulu déployer VCHA sur 3 sites distincts:
- 2 sites de production en Datacenter
- et un site tiers pour le noeud witness.
La problématique, c'est que certains VLANs peuvent être étendus entre les 2 sites de production mais pas avec le 3e site.

Nous avons donc choisi l'architecture suivante:
- l'adresse IP de management du vCenter sera sur un VLAN étendu entre les 2 sites de production
- les adresses IP pour le service "Heartbeat/réplication" de VCHA seront sur des sous-réseaux différents.

A noter qu'il est également possible d'avoir des adresses IP de management sur des sous-réseaux différents. Dans ce cas, il faudra mettre à jour manuellement l'entrée DNS au moment de la bascule .
Dans tous les cas, lorsque les noeuds VCHA sont répartis sur des sites différents, veuillez à bien respecter les 10ms de latence maximum entre les sites.


PROCEDURE
Dans cet article, nous partons du principe que vous disposez déjà d’un serveur VCSA fonctionnel.

Voici les grandes étapes afin de mettre en place VCHA. Ces étapes doivent être suivies rigoureusement dans le bon ordre:

  1. Ajout d'une 2e NIC au serveur VCSA
  2. Activer SSH sur le serveur VCSA
  3. Lancer le Wizard de déploiement VCHA en mode avancé
  4. Stopper le Wizard à une étape précise
  5. Faire un clone pour le noeud passif
  6. Faire un clone pour le noeud témoin
  7. Configuration réseau & Ajout des routes
  8. Reprendre et terminer le Wizard

Ajout d'une 2e NIC au serveur VCSA
Pour commencer, il suffit d'éditer les paramètres de la VM vCenter pour ajouter une NIC et la positionner sur le bon VLAN.

Ensuite, il faut se connecter sur l'interface VAMI (https://nom_du_vcenter:5480) afin de configurer l'adresse IP de cette 2e NIC:


Sélectionner la "nic1" et modifier les paramètres:


Spécifier l'adresse IP de réplication et le masque de sous-réseau:




Activer SSH sur le serveur VCSA

Profitez d'être connecté sur l'interface VAMI pour activer le SSH sur le serveur vCenter VCSA:



Lancer le Wizard de déploiement VCHA en mode avancé
Se connecter sur le vCenter avec l’interface Web en Flash (cette fonctionnalité n'est pas encore disponible en version HTML5 sur vSphere 6.5), puis sélectionner la racine et aller dans l’onglet « Configurer » puis « vCenter HA ». Cliquer sur le bouton « Configurer » en haut à droite :


Choisissez l’option « Avancé » :

Renseignez les adresses IP de réplication des nœuds passif et témoin mais ne pas cliquer sur "Terminer":

Nous allons laisser le Wizard en pause le temps de réaliser les clones.

Faire un clone pour le noeud passif
Utiliser le client Web en Flash encore une fois (car la création de fichier de customisation n'est pas présente en HTML5) pour lancer un clone de votre serveur VCSA :


Choisir le cluster qui hébergera le nœud passif, dans l’idéal il s’agit d’un cluster différent voir d’un site différent du nœud actif :

Choisir un Datastore avec suffisamment d’espace libre :

Choisir l’option « Personnaliser le système d’exploitation » :

Appuyer sur le bouton avec la croix verte pour créer un nouveau profil :

Donner un nom au fichier de personnalisation :

Renseigner le nom DNS du noeud passif ainsi que le nom de domaine :

Choisir le fuseau horaire :

Sélectionner la « NIC 1 » cliquer sur le bouton en forme de crayon :

Indiquer les paramètres de l’adresse IP de management :

Faire de même pour la « NIC 2 » et indiquer l’adresse IP de réplication du nœud passif. Ne pas indiquer de passerelle 

Vérifier les informations et cliquer sur « suivant » :

Renseigner les serveurs DNS et le champ de recherche DNS :

Cliquer sur « Terminer »:

La création du fichier de personnalisation est terminée, vous pouvez maintenant le sélectionner et cliquer sur « Suivant » :

Vérifier une dernière fois les informations et cliquer sur « Suivant »

Enfin cliquer sur « Terminer » pour lancer la création du clone :
Le 1er clone est maintenant créé et éteint.
Ensuite, nous pouvons passer à la création du clone pour le 3e noeud.

Faire un clone pour le noeud témoin
De la même manière, veuillez créer un clone pour le 3e noeud.
La différence étant cette fois de créer un fichier de customisation pour le "Noeud Témoin".


Dans ce fichier de personnalisation, veuillez laisser la NIC1 en DHCP et configurer uniquement la NIC2 pour le heartbeat avec les noeuds actif et passif.

Les 2 clones sont maintenant créés et ils sont restés éteints.

Si tous les sites ne sont pas gérés au sein du même vCenter, il peut être nécessaire de faire un « backup/restore » avec Veeam par exemple afin de copier les clones sur le bon site.

Editer ensuite les paramètres des 2 clones afin de connecter les cartes réseaux sur les bons VLANs.
Enfin vous pouvez baisser la quantité de CPU et RAM du nœud témoin à :
         - 1 vCPU
         - 512Mo de RAM (dans notre cas, nous avons choisi de garder 1GB de RAM)


Puis allumer les clones.

Configuration réseau & Ajout des routes

Afin que les adresses IP de réplication VCHA de chaque nœud puissent communiquer entre elles, il est nécessaire de rajouter des routes sur chaque nœud.

Ouvrir une console sur le nœud principal et se connecter en tant que « root » :


Taper la commande « shell » pour activer le CLI :

Configurer l’adresse IP de réplication sur le nœud passif avec la commande suivante :
/opt/vmware/share/vami/vami_config_net


Taper « 7 » pour vérifier/configurer l’adresse IP d’eth1 :

Puis taper la commande suivante afin de rajouter une route :
vi /etc/systemd/network/10-eth1.network

Ajouter les routes afin que le noeud1 puisse communiquer avec les nœuds 2 et 3 sur le réseau VCHA :

Avec l’éditeur de texte « VI », il faut taper la lettre « i » pour insérer des caractères, puis « Echap » et « :wq » pour enregistrer et quitter.

Enfin redémarrer le service réseau pour que le changement soit pris en compte :
systemctl restart systemd-networkd

Faire de même sur le noeud passif afin qu’il puisse communiquer avec les nœuds 1 et 3 :

Enfin redémarrer le service réseau pour que le changement soit pris en compte :
systemctl restart systemd-networkd

Enfin, se connecter sur le nœud 3 (Témoin) afin de configurer le réseau de la carte eth1, puis modifier la passerelle par défaut pour eth1 avec la commande suivante :
/opt/vmware/share/vami/vami_config_net

Il n’y a pas de route à ajouter sur le nœud 3, puisqu’on modifie directement la passerelle par défaut.


Reprendre et terminer le Wizard

Une fois que :
       - les clones sont créés
       - les clones sont hébergés sur les bons sites/clusters
       - les routes ont été ajoutées sur les nœuds 1 et 2

Vous pouvez retourner sur le wizard et cliquer sur « Terminer » :

Une fois la tâche de configuration terminée, une tâche de synchronisation sera lancée automatiquement entre les nœuds actif et passif. Une fois terminée, vous serez alors dans l’état suivant :


Problèmes courants
Si la tâche de configuration de VCHA échoue:
=> assurez-vous que le nœud principal est capable de résoudre son propre nom cours (sans le suffixe DNS) avec la commande "nslookup".

=> Vérifier également que chaque nœud est capable de communiquer avec les 2 autres sur le réseau VCHA.

=> De plus, si vous n’avez pas respecté l’ordre de création des clones au bon moment du wizard VCHA, ceux-ci ne pourront pas se connecter entre-eux en SSH car la clé d’encryption SSL ne sera pas bonne. Il faudra donc recommencer depuis le début et respecter l’ordre de création rigoureusement.

Enfin, vous pourrez trouver des fichiers de logs très intéressant à l’endroit suivant :




REFERENCES
https://kb.vmware.com/s/article/2148442


jeudi 17 janvier 2019

[Zerto] Basculement partiel d'un VPG

Depuis la version 6.5 de Zerto Virtual Replication, il est possible de ne basculer sur son site de DR qu'une partie d'un VPG.
En effet, jusqu'à présent, la bascule sur le site de DR était granulaire au VPG (un groupe de VM représentant une application dans son ensemble par exemple). Ainsi, il est désormais possible de ne procéder à la bascule que d'une partie de ce VPG.

Voici donc comment cela se présente et comment procéder.

Je crée donc un VPG contenant deux VMs


J'initie donc le live FailOver de ce Protection Group en cliquant sur FAILOVER


Dans la liste des VGP, je vérifie que le celui que je souhaite faire basculer est bien sélectionné, et je clique sur l'option encadrée en rouge, afin de sélectionner la ou les VMs que je souhaite faire redémarrer sur mon site de DR


Ici, seule la VM "test-Guillaume" sera basculée.
"test-Guillaume2" ne changera pas de site.


Je lance le FailOver de ma VM

Le FailOver étant terminé, et étant satisfait de l'état de ma VM, je commit le journal en cliquant sur la coche verte


Acceptez maintenant le "reverse protection".
Vous constatez alors qu'un nouveau VPG a été créé et qui se nomme par défaut "nom_du_VPG-Partial"


Voila donc comment ne migrer sur le site de DR qu'une partie d'un VPG.
Cette granularité à la VM est vraiment pratique, car elle n'oblige plus à basculer toute une application.
Nous verrons prochainement comment regrouper de nouveau dans un seul et même VPG les deux VPG séparés.



mercredi 14 mars 2018

vCenter HA - Mode basique


Principe

Cette fonctionnalité permet de protéger l’appliance vCenter. Vous l’avez compris cette fonctionnalité n’est pas disponible pour vCenter installé sur un OS Windows. On sent donc la volonté de VMware de continuer à améliorer et pousser la version appliance de vCenter au détriment de la version Windows.

Il s’agit donc de créer une VM vCenter de reprise afin de limiter le temps d’indisponibilité du service vCenter. Cela peut être vraiment intéressant sur vous disposez de serveurs ESXi sans stockage partagé ou si vous avez 2 clusters HA distincts. Vous pouvez alors placer les VMs principales et secondaire sur des cluster (ou site) différents.

La VM de reprise est maintenue à jour grâce à une réplication depuis le vCenter principal.

De plus, cette fonctionnalité fait appel à une VM dite « Témoin » permettant d’automatiser la détection de panne et donc la bascule depuis la VM vCenter principale vers la VM de secours.




On comprend grâce au schéma ci-dessus qu’on utilise un réseau de réplication privé en plus du réseau de management public. Chaque nœud (VM Active / VM Passive / VM témoin) dispose d’une adresse IP dans ce réseau de réplication. Parcontre, seule la VM Active dispose de l’adresse IP publique de management du vCenter.


Prérequis

Pour mettre en place la fonctionnalité vCenter HA, vous aurez besoin :
·       D'une licence vCenter standard
·       De vCenter 6.5 minimum
·       De serveurs ESXi 5.5 minimum
·       D'au moins 3 serveurs ESXi afin que les 3 noeuds (Actif/passif/témoin) ne soient pas sur le même ESXi
·       D’un VLAN dédié pour le réseau de réplication avec 3 adresses IP (1 pour chaque noeud: Actif/Passif/témoin)
·       Ce VLAN doit être propagé sur tous les ESXi, mais il n'a pas besoin d'être routé vers d'autres VLANs.
·       Ce VLAN de réplication doit avoir une latence inférieure à 10ms entre les noeuds actif/passif/témoin
·       Créer un portgroup ou dvPortgroup pour ce VLAN.
·       Disposer d'un compte « administrateur » sur la plateforme VMware



Mise en place 

Se connecter au vCenter actif avec un compte administrateur, puis sélectionner le vCenter (la racine de l’arborescence) et aller dans configuration. Ensuite cliquer sur "vCenter HA" puis le bouton "Configurer" en haut à droite:

Choisir la configuration de base afin que le wizard s’occupe de tout (ajout d’une carte réseau sur l’appliance vCenter / clonage pour les noeuds passif et témoin / configuration de la réplication). La configuration avancée pourra servir dans des cas spécifiques comme par exemple lorsque le PSC est externe au vCenter :

Indiquer l'adresse IP de réplication (réseau privé) du nœud actif:

Indiquer les adresses IP de réplication (réseau privé) des nœuds passif et témoin:

Faire le "mapping" en plaçant les nœuds sur les bons éléments:


Valider pour lancer la déploiement:

Une fois l’installation terminée, vous pouvez voir que les 3 nœuds sont opérationnels :

Test de bascule

Lorsqu'un nœud tombe ou qu'on initie une bascule volontairement, le nœud passif récupère l’adresse IP publique puis lance tous les services vCenter. L’interface Web affiche alors le message « Failover in progress » :

Puis après quelques minutes, la console se recharge automatiquement :)

Afin de tester le bon fonctionnement, vous pouvez par exemple éteindre la VM principale. Le nœud passif deviendra alors actif. Lorsque la VM principale revient à la vie, le rôle reste hébergé sur la VM secondaire. Vous pouvez alors initier un basculement manuel si vous souhaitez que la VM principal héberge le rôle à nouveau.

Pour plus d'informations sur la fonctionnalité VMware vCenter HA, je vous laisse consulter la documentation officielle: https://docs.vmware.com/fr/VMware-vSphere/6.5/vsphere-esxi-vcenter-server-65-availability-guide.pdf