Mediu de laborator pentru studenții claselor de VMware (part I)

Ca parte a ofertei de curs VMware, DNT Training Center oferă studenților săi acces la resursele proprii de laborator. În cadrul orelor practice fiecare student poate accesa capacități rezervate pentru realizarea individuală a oricărui scenariu de laborator. Mai nou, mediul de laborator DNT poate fi accesat deja și de acasă și este disponibil 24/24. Astfel, studenții noștri pot accesa resursele de laborator oricând le este comod și de oriunde au acces la Internet. Legătura se realizează printr-o conexiune VPN peste Internet. Specificul laboratoarelor VMware, in comparație cu cele din alte cursuri, e că aici e nevoie de resurse hardware considerabile. Dacă la Cisco spre exemplu îți era suficient un PC de o capacitate medie pentru a rula Packet Tracer-ul sau/și GNS3-ul aici ai nevoie de mult mai mult – un singur PC dacă nu e dotat cu discuri SSD și cu memorie RAM peste 10GB poate să nu-ți fie suficient. Printr-un enviroment de laborator accesat de acasă încercăm să acoperim acest neajuns în așa fel încât studenții să obțină cunoștințe și deprinderi practice de cea mai înaltă calitate. În cele ce urmează, am să încerc să descriu cum a fost realizat proiectul mediului de laborator, configurațiile specifice pe acesta și unele recomandări pentru studenți. Voi organiza conținutul pe 3x parți:

  1. Part I (curent): prezentare generală, descriere arhitectura.
  2. Part II: detalii configurație servere vCenter, VPN, WEB Proxy
  3. Part III: ghid How to pentru studenți

Arhitectura mediului de laborator

Pentru început, să vedem ce obiective trebuiau asigurate de viitorul mediu de laborator:

  • acces 24 din 24, de oriunde este access la Internet-ul (acasă, serviciu)
  • acces controlat prin nume utilizator și password – personal per student
  • resurse hardware rezervate pe fiecare student in parte
  • capacitate de a rula host-uri ESXi nested cu VM-uri nested pe acestea
  • mediul de laborator izolat de rețeaua de producție DNT
  • acces la mediu de lab inclusiv și din sălile de studiu DNT

Mediul de laborator e construit pe un singur server fizic, supradotat, resursele căruia sunt partiționate între studenți cu o parte din ele rămânând rezervate pentru propriile servicii. Serverul fizic are instalat VMware ESXi 5.5 gestionat de un server vCenter Server 5.5 realizat ca și mașină virtuală pe același mediu. Adițional, alte două VM-uri lucrează pentru a asigura serviciile de VPN și Web Proxy. Studenții vor folosi resursele alocate prin crearea de mașini virtuale proprii care vor funcționa fie ca gazde pentru host-uri ESXi nested fie ca servere pentru unele servicii necesare scenariilor de laborator.

Serverul fizic reprezintă un workstation model DELL Precision T5500 dotat cu următoarele resurse hardware:

  • două procesoare Intel Xeon X5570, 2,93GHz, 8MB cache, 4 core-uri cu HT, care în sumă ne asigură un total de 16 procesoare logice.
  • o capacitate RAM de 144 GB, DDR3-1333Mhz, ECC Registered Memory
  • controller de disk-uri RAID Controller (PERC) H310, no WT/WB cache. UPD:01.05.2015 (PERC) H700, read cache/write back cache, cache memory size 512 MB, BBU.
  • 8x disk-uri SATA 2.5'', 300GB, 10K RPM configurate într-o matrice RAID 10, care în ansamblu de asigură un total de 1.2 TB capacitate de stocare alocabilă și un aproximativ de 500 IOPS pe write  și 1000 IOPS pe read. Întreaga capacitate formează datastore-ul VMFS pentru stocare VM-urilor din laboratoare.
  • adițional 2x disk-uri SATA, 300GB conectate direct în controler-ul pe motherboard, folosite separat ca două datastore-uri VMFS pentru stocarea de imagini ISO și template-uri de VM-uri.
  • 3x adaptoare de rețea GbE, unul embedded in motherboard (Broadcom BCM5761) și celelalte 2x ca parte dintr-o extensie PCIe (Intel 82571EB). In general, adaptoarele vor funcționa în paralel într-un team activ conectate la rețeaua de producție cu excepții pentru câteva laboratoare realizate in clasă în care două din NIC-uri vor fi re-comutate pe switch-urile Cisco din kit-ul de CCNA/CCNP.

Să analizăm acum elementele ce formează arhitectura mediului de laborator VMware DNT. Pentru o reprezentare grafică vedeți schema de mai jos. 

dnt_vmware_lab_enviroment_p1_lab_architecture

Așadar, următoarele elemente formează arhitectura mediului de laborator:

  • host-ul ESXi – serverul fizic despre care s-a vorbit mai sus, are instalat un ESXi 5.5 (la momentul articolului în build: 1623387 – 5.5 update 1). Imaginea ESXi a fost instalată pe un removable flash memory stick de 4GB, montat într-un port USB intern.
  • networking-ul fizic de la host-ul ESXi la router/switch-ul intern DNT (CRS125-24G-1S-2HnD-IN). Implicit, toate 3x NIC-uri pe host-ul ESXi sunt conectate la rețeaua DNT (team).
  • la nivel de IP, partea de producție din rețeaua enviroment-ului de la lab e separată de networking-ul din sălile de studiu și Wi-Fi. Pentru aceasta pe router-ul DNT a fost creat un network aparte asociat cu un subnet în intervalul 10.10.1.0/24. În acest network este conectat vmk-ul de management a host-ului ESXi, precum și câte una din interfețele VM-urilor vCenter, Proxy, VPN (interfața public)
  • partea de lab din rețeaua mediului de laborator e formată pe un grup de porturi izolat (fără uplink-uri în networking-ul fizic) pentru care se recomandă folosirea intervalului de IP-uri 172.16.0.0/16. Aici se vor conecta VM-urile din scenariile de laborator și tot aici prin interfețele secundare (interfața private) sunt conectate VM-urile serviciilor vCenter, Proxy, VPN. VM-urile create în laborator pot fi anexate doar pe acest network și orice tentativă de a te conecta pe celălalt group de porturi (producție) va duce inevitabil la eroare de drepturi de acces. E lesne de înțeles că de aici nu se poate de ajuns în rețeaua de producție.
  • server vCenter Server 5.5, element central în arhitectura mediului de laborator, folosit pentru gestionarea și accesul la resursele host-ului ESXi fizic. Configurat cu două interfețe, una in rețeaua de producție cu IP-ul 10.10.1.45 și alta în cea de laborator cu IP-ul 172.16.0.4. Studenții se vor conecta la server-ul vCenter cu vSphere Client or cu Web Client, folosind IP-ul 172.16.0.4, pentru a crea/controla VM-uri din propriile scenariile de laborator. Pe server-ul vCenter (SSO) sunt definiți utilizatori (vsphere.local) pentru fiecare student în parte, grupuri de utilizatori, roluri și permisiuni pe obiecte din inventar.
  • server WEB Proxy pentru access din rețeaua izolată de la laborator la rețeaua Internet. Are două interfețe, una conectată in rețeaua de producție și are configurat IP-ul 10.10.1.39 și alta în rețeaua de laborator cu IP-ul 172.16.0.39. Proxy-ul folosește port-ul TCP:8080. Pe client, pentru a accesa Internetul va trebui de configurat corespunzător proxy settings.
  • server VPN pentru acces remote din Internet la rețeaua de laborator. Are două interfețe, una în rețeaua de producție configurată cu IP-ul 10.10.1.15 și alta în rețeaua de laborator cu IP-ul 172.16.0.1. Fiecare student folosește propriul set username și password. Odată conectat, PC-ul remote ajunge în rețeaua de laborator și se auto-configurează prin DHCP cu un IP din intervalul 172.16.0.100-172.16.0.200.  Pe router-ul DNT, este configurat un port mapping intre IP-ul public DNT 178.168.50.194 și IP-ul server-ului VPN 10.10.1.15 pe portul 443. Server-ul VPN, este configurat să primească conexiuni pe portul TCP:443.
  • VM-uri cu Windows 7 pre-instalat și pre-configurat pentru fiecare student. VM-urile sunt conectate in rețeaua de laborator, pre-configurate manual cu un IP, Remote Desktop pornit și au pre-instalate vSphere Client și Chrome Browser. Odată conectat la mediul de laborator, studenții își deschid prin RDP propriul desktop cu Windows din care încep a-și execută task-urile necesare scenariului de laborator. Ca alternativă, e posibil și lucru cu vSphere Client (WEB Client) printr-o conexiune directă de pe PC-ul de acasă, dar asta cu siguranță va însemna un GUI mai greoi din cauza bandwith-ului redus la conexiunea de Internet a DNT-ului. VM-urile cu Windows 7 folosesc toate același password:asdfgh1! pentru utilizatorul Administrator.
  • pool-uri de resurse sub forma de vApp-uri pentru fiecare student in parte. La nivel de vApp se configurează rezervarea de RAM (câte 10GB de memorie garantată) și drepturile de acces per student. Studenții vor putea crea VM-urile doar in contextul vApp-ului de care a fost asociat. 

Vedeți mai jos screen-ul la inventarul server-ului vCenter pe mediul de laborator VMware DNT. Se observa clar VM-urile de infrastructura (vCenter, VPN, Proxy) și pool-urile de resurse alocate studenților (STD-POD-A01..A09).

dnt_vmware_lab_enviroment_p1_vCenter_inventory

Serverul fizic este montat pe poliță în rack-ul echipamentelor de laborator DNT, alături de routere și switch-uri Cisco și e conectat la o sursă de alimentare neîntreruptibilă UPS. Așa cum rack-ul cu echipamentul de laborator se află în una din sălile de studiu DNT, a fost important ca server-ul nou să fie unul cât mai silențios – de unde și decizia de a folosi un echipament de tip workstation pe rol server în loc de un server Rack Mounted, ultimul generând un nivel de zgomot considerabil.

dnt_vmware_lab_enviroment_rack_mount

În următoarele părți din articol voi descrie configurațiile specifice pe serverele vCenter, VPN, Proxy precum și un guide How To pentru cele mai de bază acțiuni pe mediul de laborator.