VSAN Stretched Cluster 6.6 – Améliorations

VSAN Stretched Cluster 6.6 – Améliorations

21 mars 2018 0 Par Michael PERES

VSAN Stretched Cluster Améliorations 6.6

Protection locale

Un stretched cluster vSAN duplique les données entre les sites pour fournir de la résilience en cas de perte d’un site. Cela a été le cas depuis l’introduction de la fonctionnalité de stretched cluster en vSAN 6.0. vSAN 6.6 repose également sur cette résilience mais y ajoute également une notion de protection locale, qui fournit à la fois une protection inter et intra sites. La protection locale est réalisée en implémentant un RAID-1 ou de l’erasure coding sur chaque site.

Cette protection est configurée et gérée par le biais d’une « Storage Policy » au sein du client vcenter. La figure ci-dessous montre les régles pour une politique de stockage définie sur un streched cluster de type All-Flash. La « primary level of FTT » est de 1, instruisant vSAN de repliquer les données entre les 2 sites. Le « secondary level of FTT » precise comment sont protégées les données au sein d’un site. Dans l’exemple illustré l’erasure coding en RAID-5 est utilisé et permet de supporter la perte d’un host sur un site

La protection locale au sein d’un stretched cluster améliore la resilience globale d’un stretched cluster et minimize les occurences d’interuption de service. Cette fonctionnalité contribue aussi à minimiser le trafic inter-sites quand des composanst doivent etre reconstruits ou resynchronisés.

vSAN diminue le prix de possession d’une solution de type stretched cluster car il n’y a pas besoin d’acquérir de hardware supplémentaire pour fournir ce niveau de résilience.

Stretched Cluster Site Affinity

vSAN 6.6 améliore la flexibilité des storage policy dans un contexte stretched cluster en introduisant la notion de régles d’affinité “Affinity rule”. Il est possible de spécifier un site unique ou doivent figurer les composants des VMs dans le cas ou une redondance n’est pas requise. Des exemples classiques comprennent des applications qui contiennent des solutions de redondance ou équilibrage au niveau de l’application elle-même ; par exemple  Microsoft Active Directory et Oracle Real Application Clusters (RAC).

Cette fonctionnalité permet de réduire les couts de stockage et de connectivité utilisées par ces environnements. L’affinité est facile à configurer et gérer via les Storage Policy-Based Management. Une politique de stockage est créée et une règle d’affinité est ajoutée pour préciser le site ou les composants des VMs seront stockés.

Encryption native des données

L’encryption vSAN “data-at-rest” est maintenant une option pour les datastores vSAN pour améliorer encore plus la sécurité et répondre aux exigneces de contraintes réglementaires de plus en plus exigentes. L’encryption des Datastores vSAN utilise une clé AES 256. L’encryption vSAN est indépendnate du hardware et peut donc être déployée sur n’importe quel matériel supporté dans des configurations hybrides et All-Flash. Des disques auto-encryptibles « Self Encrypting Drives » ne sont pas requis. L’encryption vSAN est activée et configurée au niveau du Datastore vSAN. En d’autres mots, tout objet figurant sur le Datastore vSAN est encrypté quand cette fonctionnalité est activée. Les données sont encryptées quand elles sont écrites à la fois dans les disques de cache et de capacité du Datastore vSAN. L’encryption survi ent juste apres le driver stockage de la pile de stockage ce qui signifie qu’elle est compatible avec toutes les fonctionnalités vSAN telles que la déduplication et la compression, RAID-5/6 erasure coding, stretched cluster. Toutes les fonctionnalités vSphere, VMware vSphere vMotion, VMware vSphere Distributed Resource Scheduler (DRS), VMware vSphere High Availability (HA), et VMware vSphere Replication sont supportées.

Un gestionnaire de clé “Key Management Server (KMS)” est  necessaire pour activer et tutiliser l’encryption vSAN. Tous les fournissuers de KMS sont compatibles et ceux testés plus spécifiquement sont HyTrust, Gemalto, Thales e-Security, CloudLink, and Vormetric.

Ces solutions sont usuellement déployées dans des clusters d’appliances physiques ou vrituelles pour en assurer les redondances et résiliences. La configuration initiale est effectuée dans l’interface de vCenter . Le cluster KMS est ajouté au vcenter et une relation mutuelle de confiance est créée . Le processus peut varier en fonction des éditeurs de KMS mais reste simple.

Activer l’encryption est simplement un click sur une check-box. L’encryption peut être activée avant ou après l’activation de vSAN, sans ou avec des VMs résidant sur le datastore vSAN

Les clés d’encryption sont transférées vers les hosts vSAN grace au Key Management Interoperability Protocol

(KMIP). Les standards de l’industrie et la conformité aux réglementations requièrent généralement la génération de nouvelles clés sur une base périodique.

Ceci réduit le risque de voir une clé exposée ou compromise par une attaque massive. La génération d la nouvelle clé se fait en quelques clics au sein de vCenter. L’encryption peut être désactivée

Compliance

vSAN est inclus dans l’hyperviseur vSphere et grace à cette integration étroite partage les certifications vSphere en matière de sécurité. « 2-factor authentication methods” tels que RSA SecurID” et “Common Access Card (CAC)”, sont supportées par  by vSAN, vSphere et  vCenter Serveul HCI aer. vSAN fait partie du Coeur de vSphere STIG, et seule solution HCI « DISA-approved STIG » .