【TechTarget中国原创】如果你选择使用vShield Zones,那么你应该注意到了它的使用局限;例如,它没有产品VMware Data Recovery那样好,新接触vSphere的管理员将需要具备许多领域的技巧。在本文中,TechTarget中国的特约虚拟化专家Eric Siebert将列出目前为止所发现的技巧,以便你轻松使用目前版本的vSphere。
这是vShield Zones系列文章的最后一部分。如果你一路追随,应该知道我们第一部分概述了vShield Zones,第二部分讲安装和配置vShield Zones。
VMware Tools
vSphere Client将报告VMware Tools没有安装在vShield Manager和代理虚拟机上。不要尝试在这些虚拟机上安装VMware Tools,因为没有必要,并且VMware Tools提供的性能优化已经内置在vShield Zones虚拟机里。
内存与CPU预留
代理不是真正的有特权的虚拟机,但是应该看成是。虽然默认下它们有内存预留,但不是用于CPU。考虑使用共享或预留保证代理的CPU资源。
VMkernel与服务控制台
VShield Zones的建立用于保护虚拟机,不是VMkernel与服务控制台。不要在服务控制台或VMkernel vSwitch上安装代理。
预安装的网络接口卡
不要从vShield Manager或者代理虚拟机移除预安装的网络接口卡(NIC)。如果你要在vShield代理上移除并添加NIC,必须卸载vShield Zones代理并重新安装。如果你从vShield Manager移除NIC,可能必须重新安装整个vShield Zones以确保vShield代理和vShield Manager之间的通信。不要重新配置硬件或减少分配给vShield Zones Manager或代理虚拟机的资源,因为它们已经被vCenter Server优化。
VMotion
由vShield保护的虚拟机受VMotion的支持,不过你首先必须确保在主机上拥有代理移动虚拟机,并且你的端口组有相应的配置。默认下你不能VMotion一台连接到内部(不是NIC)vSwitch的虚拟机,因此你必须通过编辑vpxd.cfg文件并添加VMOnVirtualIntranet参数配置vCenter Server允许这样做(更多细节参见vShield Zones管理员指导附录)。
VMotion不支持vShield代理,但是支持vShield Manager。你不想vShield代理移到其他主机,因此确保禁用单个vShield代理虚拟机上的Distributed Resource Scheduler和High Availability (HA)功能。你不能在主机上使用运行vShield代理的Data Protection Manager(更多细节参见vShield使用注意事项)。
本地与共享磁盘
vShield Manager和代理虚拟机能安装到本地磁盘或者共享磁盘。尽可能安装在共享磁盘,这样能平衡VMotion和HA。由于代理不能从主机移动,最好安装到本地磁盘。
VSwitch
当部署vShield代理时,你的虚拟机不会崩溃,因为它们从一个vSwitch移动到了另一个。在我的测试环境中,当在代理部署操作期间持续在虚拟机上ping时,只看见一个没有响应。
DMZ
当在主机上设计DMZ环境时,VShield Zones提供了更多选项和保护。即将发布的VMware白皮书将包含架构选项,你可以在进行DMZ配置使用vShield Zones的时候用到。
更多技巧请点击下半部分。