作者：范军 （Frank Fan） 新浪微博：@frankfan7传统的安全设计思想在虚拟化中同样适用。相比传统服务器安全而言，安全问题对于虚拟化平台显得格外重要。因为用户在利用虚拟化的众多优势的同时，可能会对因为共享带来的潜在风险十分敏感。同时，集中了运算，存储，网络于一体，也提高了虚拟化安全的广度和复杂性。本文尝试介绍虚拟化基本安全架构和设计思路，帮你在众多的安全话题理出个头绪。后续文章会对每个层面深入分析。一基本安全架构​在我设计的上图中，三个纵轴代表了在传统安全设计的三个要素，分别是Authentication, Authorization和Accounting。Authentication：你是谁？体现在用密码、令牌、数字证书和指纹等方式验证用户的身份。Authorization：你被授予什么权限？也就是你能干什么？你不能干什么？Accounting：所有的登陆、改动等活动有记录可查实施上述三个要素常用到RADIUS,TACACS和Diameter等协议或方法。上图的四个横轴代表了虚拟化平台中的四个层面。在安全设计时，需要在每一层都考虑纵轴代表的三个要素。Virtualisation  Layer：主要指ESXi/ESX主机的安全。考虑因素: 有没有漏洞可以利用来入侵hypervisor层？如何在主机安 ...继续阅读 (7)

作者：范军 （Frank Fan） 新浪微博：@frankfan7桌面虚拟化项目相对涉及的方面较多，遵循合理的设计方法，能让你考虑到影响方案质量的众多重要因素，制定适当的项目计划，并和相关人员展开有效的讨论。下面的七个步骤，希望能让你事半功倍。一深入了解动机和公司战略在用户对桌面虚拟化有兴趣的时候，我往往问的第一个问题就是，是什么因素促使你对此感兴趣？可能回答比如有：我们希望通过此方案降低硬件购买成本或者维护成本；希望远程随时随地访问桌面及应用；我们有鼓励员工自带访问设备的计划（BYOD）；我们目前的桌面环境不能满足需求等等。桌面虚拟化的优点很多，但不一定适合所有的用户。而且用户所面临的问题也可能有其他更适合的解决方案。同时，还应该把眼光放远一点，了解此方案可能在公司整体战略上有什么意义。比如我为一家大型银行层设计过桌面虚拟化方案。他们的办公场所遍及全球，频频兼并其他小型的金融机构。能保证所有员工快速便捷访问一些应用是对他们的生意有至关重要的影响。桌面虚拟化可以很有效的满足他们的战略需求。把用户的动机挖掘清楚了，才能很好帮助他们创建Business Case来获得高层的支持。知道用户最在意的是什么方面，从而在设计和实施中明确一些必须遵循的原则和优先级，最大程度满足用户的关键需求。二评估当前用户环境了解你的目标用户是谁？他们目前的问题是什么？他 ...继续阅读 (5)

作者：范军 （Frank Fan） 新浪微博：@frankfan7一 为什么使用HA高可用性是虚拟化平台最突出的特性之一，设置和维护非常简单，技术非常成熟。对于一些非常关键的应用，可能对容灾的要求特别高，可以考虑采用基于应用层的HA，或者操作系统层的HA，比如MSCS。虚拟层的HA是在底层架构上实现的高可用性，在恢复时间可接受的情况下是非常好的选择。相对应用层和操作系统层HA而言，vSphere HA以较低的成本实现了整个集群的高可用性，同时实施和维护都十分的简单。无需在应用或者VM上作任何设置或改动。二 HA是如何工作的？HA AgentvSphere5.0之后的版本对架构作了很多的改动。摒弃了原来Cluster中的Primary Node和Secondary Nodes的概念。并且引入了Master  HAagent 和 Slave HA Agent的概念。通常情况下一个Cluster中仅有一个Master HA Agent。HA Agent有以下的功能：-与vCenter互相交换信息-Master  HA Agent监控VM的状态，在其出现问题时重启-Slave  HA Agent把VM的状态信息传递给Master HA Agent， 并且在MasterAgent 的指令下重启VM-检测VM上运行的应用的状态当Master HA所在的主 ...继续阅读 (7)

作者：范军 （Frank Fan） 新浪微博：@frankfan7本文介绍DRS设计的指导原则和考虑因素。一 为什么使用DRS负载均衡我们希望在一个Cluster中的所有主机上的负荷是均衡的，不至于出现有的主机特别繁忙，而有的又很闲的情况。在一开始启动VM的时候，DRS会自动选择合适的主机来运行它。在运行中，DRS也会不断衡量各种因素，来决定是否移植该VM.质量控制：资源池及其控制，比如share、limit、reservation等都要依赖DRS来支持。策略实施：如果你希望有些VM运行在同一台主机，或者有些VM分别运行在不同的主机，，可以通过DRSAffinity/Non-Affinity 可以实现维护管理：在主机进入维护模式后，DRS自动移植VM到其他可用的主机。二基本设计原则不要过度设置Affinity/Anti-Affinity Rule, 可能会很大得制约DRS可以分配的主机资源。在Cluster内主机数目较多时，考虑采用Affinity Rule仅允许vCenter运行在一个或几个指定的主机上。这样在vCenter宕机时，可以很容易在特定的主机上的找到它。否则vCenter有可能运行在任何一台主机上。另外一个办法是，无需指定vCenter运行的主机，但是指定存储vCenter的DataStore。在vCenter宕机后可 ...继续阅读 (28)

作者：范军 （Frank Fan） 新浪微博：@frankfan7资源池是Cluster设计中的一个重要概念，本文介绍了为什么用资源池，怎么用好资源池，以及澄清了一些常见的误区。一概念每个ESXi主机和Cluster缺省都有一个Root资源池。如果没有新的自由池创建的话，整个系统仅仅有一个资源池。图中所示RP-Marketing和RP-QA是在Root资源池内新创建的资源池，他们和root资源池是父子关系，他们之间是兄弟关系。RP-QA-UI是RP-QA下的子资源池。为了简化管理，通常不建议在资源池内建好几级子资源池，2级资源池应该可以满足绝大多数的情况。二 为什么使用资源池授权管理vCenter管理员可以为每个部门建立资源池，授权特定用户管理该部门的资源池。这样vCenter管理员就无需过多介入对各部门内部资源的控制。统一策略：对每个VM进行资源控制费时费力，把有共同需要的VM分配到相应的资源池，可以很便捷的实现资源控制。资源分离：对一个资源池的设置改变不会影响到其他资源池，三基本设计原则不要仅仅因为逻辑区分或者访问控制的原因，来使用资源池。其实文件夹可以更好的实现该目的。为了简化管理和减少资源开销，建议资源池的深度不要超过2不要把虚拟机和资源池分在同一级不要过度分配资源。在建议资源池之前，检查上一级资源池可供分配的资源。四 SeparateESXi Cluster vs Res ...继续阅读 (11)

作者：范军 （Frank Fan） 新浪微博：@frankfan7VM内存资源控制是如何实现的？它可能带来的影响是什么？本文从概念到实战来阐述如何做好虚拟机上内存资源控制。一概念Reservations预留了一部分物理内存供VM或者资源池使用。一旦VM或资源池的内存需求达到了Reservation的规定值，这部分内存就完全分配给该VM或资源池，不可以再分配出去。Shares定义了在出现资源竞争的情况下，VM或者资源池可以获得资源的份额。比如VM1和VM2的份额比例是2:1，VM1比VM2有2倍的机会抢到资源。Limits决定了VM可以最大使用的内存。这是通过VMware Tools中包括的BallooningDriver来实现的。二 实例上图摘自frank denneman的文章Impact of memory reservation.该图很好的解释了内存控制中几个重要参数的关系。MPN指MachinePage Number，是用来映射真实物理内存的。假设一台ESXi主机有8G内存，我们为图中所示VM1设置2G内存，那么ConfiguredMemory是2G。然后设置1G reservation。还有VM2，VM3，VM4和VM5分别设置了2G内存。但没有设置Reservatin在VM1启动时，可能需要使用的内存很少，还没有达到Reservation的值。那么这部分多余的内存，还是 ...继续阅读 (26)

作者：范军 （Frank Fan） 新浪微博：@frankfan7虚拟机需要配置多大的内存合适？怎样才能最佳利用主机的物理内存？怎么把握Over-Commitment的度？本文从概念到实战来阐述如何做好虚拟机上内存资源规划。一如何分配内存？首先我们明确一些概念。上图分三层，他们分别是是App层，OS层和Hypervisor层。对于物理服务器而言，所有的内存资源都分配给单独的操作系统和上面运行的应用。应用将请求先发送给操作系统，然后操作系统调度物理的内存资源。我们以下面一个场景为例，来分析内存在各层中是如何分配的。假设我们先启动ESXi主机，这时Hypervisor加载物理内存，这和任何其他操作系统加载物理内存的原理一样。在这一层Hypervisor加载的内存称作“Machine memory”。然后我们在该ESXi主机上创建了虚拟机，并为其设置4G内存（Configured Memory Size）,这也称为“Guest Physical Memory”，由于这是Virtual Hardware为该虚拟机所分配的内存。对于操作系统而言，这和物理内存没有区别，就认为自己是完全控制该4G内存的。然后我们启动该VM，上面的OS开始运行。之后运行一个应用，该应用通过系统调用（syscall）向OS发出请求，然后获得内存。这里称作“Virtual Memory”上面说的是内存分配的过程，那么 ...继续阅读 (4)

作者：范军 （Frank Fan） 新浪微博：@frankfan7虚拟机需要多少个vCPU呢？是不是个数越多性能越好呢？这方面存在着很多误区。给VM配置CPU资源的时候，要精打细算才能最大可能的利用已有资源，来满足商业应用的需要。有的情况下为某个VM设置过多vCPU数目，反而会造成该应能的性能下降。也造成整个系统的资源浪费。本文从概念到实战来阐述如何做好虚拟机上CPU资源规划。一概念：首先我们明确一些概念。SocketA CPU socket or a CPUpackage refers to a physical unit of CPU which is plugged into a system board.For example, a 4-way system or a 4-socket system can contain up to four CPUpackagesCoreA CPU socket or a CPUpackage refers to a physical unit of CPU which is plugged into a system board.For example, a 4-way system or a 4-socket system can contain up to four CPUpackagesLogical processor:Hyp ...继续阅读 (15)

作者：范军 （Frank Fan） 新浪微博：@frankfan7在虚拟化项目的前期，估计预算的时候要对需要的主机有个大概的计划。需要什么类型的主机？每台主机的配置如何？需要多少？我们假设一个场景来展开讨论。某公司有50台物理服务器，打算移植到虚拟化平台上来。以下三个步骤可以帮你找到答案。一 分析需求 搜集数据一定要对需求有充分的了解。是否需要把已有的物理主机移植到这个虚拟化环境？物理主机上运行的应用是什么？资源使用的平均值和峰值？VMware CapacityPlanner可以很方便的从已有物理主机上搜集这些信息，并能生成很直观的报告。或者也可以使用perfmon等工具手工收集数据。假设以下场景：50台物理主机的平均Core数目是4，平均的CPU主频是2000Mhz。在高峰期的CPU 占用率是12%Average CPU per physical(MHz)CPU主频 * Core数目2000 MHz * 4 = 8000 MHzAverage peak CPU utilization (MHz)Average CPU per physical * 高峰期的CPU 占用率8,000MHz x 12% = 960MhzTotal peak CPU utilization(MHz)Average peak CPU utilization *&nb ...继续阅读 (13)

作者：范军 （Frank Fan） 新浪微博：@frankfan7一为什么会有DevOps的出现？DevOps这个新理念的出现，是为了应对IT环境中普遍面临的一些挑战。敏捷的出现缩小了上图所示的第一个隔阂，也就是商业需求和开发之间的隔阂，有效的加快了产品开发的周期和效率。那么这无疑为运营团队增加了很多压力。于是上图中第二个隔阂，也就是开发和运维之间的隔阂需要解决，于是DevOps的理念应运而生。二如何解决开发和运维的隔阂呢？首先要明白隔阂产生的原因。开发人员和运维人员认识的方法，以及各自所处的角色，都存在根本性的差别。开发团队要求的不断满足新的客户需求，并快速实现新的功能。而运营最关心的是“稳定压倒一切”，任何差错都有可能对生产环境中的用户造成直接影响。有些服务提供商都和客户签署Service Level Agreement. 服务中断意味着直接的财政损失。衡量指标不同，自然工作的重点不同。那么我们首先要从文化上着手。根本上要从文化上着手。文化的改变是第一位。了解自己的工作队全局的影响。运维团队必须明确的认识到，如果不能快速把开发成果推倒生产环境，企业就很可能被其他竞争对手超越。长久以来就很有可能被市场淘汰。覆巢之下，焉有完卵？那么运维团队也就没有存在的意义了。但不是说稳定不重要，我们需要实施一系列手段来实现即快又稳。开发 ...继续阅读 (5)

作者：范军 （Frank Fan） 新浪微博：@frankfan7在【桌面虚拟化】之二类型及案例中我们探讨了桌面虚拟化的两种架构，HostedVirtual Desktop (VDI) 和 Published Desktop/App. 本文深入分析其中VDI的两种桌面类型，Persistent和NonPersistent。一 定义：Persistent Desktop: 通常为每个用户分配专有的虚拟桌面。用户数据和个人设置保存在该虚拟机。Non Persistent Desktop: 通常是从虚拟桌面池内选择虚拟机随机分配给用户。用户数据和个人设置不会保存。每次登陆后恢复到最初的原始状态。 优点不足Persistent·应用和桌面Image是整合在一起的；无需额外安装应用·可以采用和物理桌面一致的管理工具和方法。·从用户的角度看，该虚拟桌面和传统物理桌面没有任何区别·需要更多的存储空间·有可能管理上相对复杂些，毕竟每个桌面都是不同的·可能第一次创建桌面的时间相对较长·需要设计完善的容灾方案，比如整个数据中心中断的情况。Non Persistent ·可以很快的创建桌面·相对需要较少的存储空间·在灾难发生时 ...继续阅读 (9)

作者：范军 （Frank Fan） 新浪微博：@frankfan7 VPLEX等存储设备的出现，可以实现双活数据中心，最大程度的有效利用运算和存储资源。在“容灾设计之三Stretched Cluster”中我们介绍了Stretched Cluster的概念，EMC VPLEX是Stretched Cluster支持的存储设备之一。本文大概介绍EMC VPLEX和VMware Stretched Cluster的集成。当然VPLEX也可以独立使用。一 VPLEX简介Stretched Cluster对存储的要求是在任何灾难的情况下，虚拟机都能够访问到数据，而且性能不受影响。在灾难恢复后，存储设备尽量能自动切换到最初的设置，避免因为过多的人工干预而产生服务中断。那我们来看看VPLEX是否能满足这些需求。以上图的VPLEX Metro为例，该设备有三个突出的特点：兼容性：VPLEX不仅可以管理EMC的存储设备，还可以管理很多其他厂商的设备。分布性：VPLEX把底层的存储资源整合起来，创建了中间的一层叫做Distributed Volume。vSphere Cluster无需了解底层使用什么存储设备，只需要在Distributed& ...继续阅读 (19)

作者：范军 （Frank Fan） 新浪微博：@frankfan7 我们很习惯于用IT思维颠覆传统行业，可很少有人谈怎么借鉴传统行业思维来看IT环境的问题。在为什么我们永远疲于奔命？一文中我提到了Project Phoenix。该书里把理想的IT环境比成一个流水线。作为多年来摸爬滚打的IT老兵，我开始在情感上接受不了这个概念。心里觉得不是滋味。可静下来想想，虽然不能武断的一刀切，但的确流水线思想有很多我们可以借鉴的地方。一 赛车的速度和激情大家知道赛车行业的科技含量是非常高的，作为门外看热闹的我，个人觉得有几个突出的特点部件多，质量要求极高其中一部赛车的部件可能会有几千上万个，每个部件的质量要求直接影响到车的性能。环节多每个部件可能会在不同的地方生产、组装和测试等等。迭代快很多最新的技术都是先在赛车上应用的。而且要求最短的时间内应用最新的技术。二 IT文化需要一场变革如果拿IT行业的工作和赛车工业比较，可能不太恰当。可赛车行业对质量和工作流的管理，很值得我们借鉴。为什么人家能做的那么好？那么复杂的技术怎么这么快就能用上？要知道赛车的风险可是人命关天的大事啊。回头看看我们熟悉的一些IT项目，尤其是Infrastructure方面的，在谈起一些DevOPs的概念和方法时，有的人可能会不屑一顾。我们IT是高技术含量，I ...继续阅读 (13)

作者：范军 （Frank Fan） 新浪微博：@frankfan7  Stretched Cluster是一把双刃剑，会用的如行云流水，用不好反而受其限制。传统的vSphere Cluster是指一个Cluster内的所有ESXi主机都在一个物理机房内。Stretched Cluster顾名思义是把Cluster的概念扩展到了不受物理位置的限制。主机可以是在同一个数据中心的不同物理机房，甚至可以分布在不同城市的数据中心。听上去很酷吧，是否采用Stretched Cluster需要缜密的评估和设计。以下三个步骤可以帮助你理清思路。一 明确想要什么？ 容灾的大概念很模糊，每个人可能都有不同的理解。所以我们需要对以下几个名词吃透。Disaster Recovery在一个数据中心的应用意外中断后，在另外一个数据中心把该应用恢复。目的是在Infrastructure层出现大到故障的时候，应用可以在短时间内恢复，尽量减小影响。Disaster Avoidance通常指采用主动的措施来避免可能发生的应用中断。比如计划内的机房断电、飓风来袭，地震预警等等。在灾难发生之前，把应用从可能受影响的数据中心切换到另外一个安全的数据中心。在切换过程中可能有短时间内的服务中断。Downtime Avo ...继续阅读 (17)

作者：范军 （Frank Fan） 新浪微博：@frankfan7  在容灾设计中需要有个清晰的思路，能帮助我们既能考虑大局，又能照顾到细节。以商业需求为主导是必须的，而不是一上来就谈某个产品的具体功能。我总结了以下三个步骤：一深入了解商业需求上图列出了一些Business Parameters。摘自此文。我们着重谈其中的的几个要素：RTO（recovery time objective）：灾难发生后要求在该时间内能恢复应用。RPO（Recoverypoint objective）：灾难发生后可以容忍数据的丢失的时间段。理论上讲当然容灾方案支持RTO和RPO越小越好，但千万不能因为单纯追求最小值，而造成不必要高成本，也就是所说的OverEngineering。好的架构师应该从客户角度着想，提供满足需求的方案。在和客户沟通的时候，一定要打破沙锅问到底，RTO和RPO的值是怎么来的？很多时候会发现没有人能说清楚。这就需要从应用上着手。比如有的应用自身已经实现了高可用性，比如MSCluster， LVS等等，支持该应用的Infrastructure不必过分考虑容灾。很多时候Hypervisor自己HA就能够满足了。Risk从严重程度（Severity）和可能性（likehood）来考虑。比 ...继续阅读 (4)

作者：范军 （Frank Fan） 新浪微博：@frankfan7   从本文开始，我们将介绍一系列的关于容灾的解决方案。先探讨应用的场景，然后再深入介绍技术架构。情景一：某小型公司的虚拟化环境中，在5台ESXi服务器上运行100台虚拟机。采用NFS存储。其中需要异地恢复的虚拟机10台。对于异地容灾RPO的要求是30分钟，RTO是1小时。已经使用vSphereStandard 许可。软件购买成本有限。建议：采用vSphere Replication （VR）VR对于已经使用vSphere essential 以上许可的用户是免费的。 VR能够满足RPO30分钟的要求。技术细节：VR适用于本地的恢复，或者异地恢复。异地场景如下图所示：VR的全部功能是有VR Appliance来实现的。VR  Appliance和安装在每个ESXi上的VRA通讯，在第一次的数据同步完成后（baselineSynchronization），仅仅传送以后更改的数据到异地。考虑因素：以下虚拟机是不适合使用VR来容灾的：AD，DNS, LDAP 等两地共享的虚拟机vCenterRPO要求<15 分钟Physical  ...继续阅读 (11)

作者：范军 （Frank Fan） 新浪微博：@frankfan7   微信：frankfan7在【DevOps】谁说大象不能跳舞?一文之后，本文对DevOps的理念作进一步探讨。最近在读一本书《Project Phoenix》，用小说的方式来描述了作为IT部门总裁的主人公临危受命，面对IT开发和运维中出现的种种危机，在险峻的情况下采用新的管理理念，从而带领IT团队从低谷走向成功的故事。书中的一些场景，我是再熟悉不过了。有时候也不禁想，如果自己身在其中，会如何应对呢?这本书也引用了很多DevOPs的理念，故事一波三折，其中的道理很耐人寻味。话说该公司的IT部门是最备受责难的一个部门。很多商业计划因为IT不给力而拖延，IT环境极其不稳定，大小问题接连不断。IT每天忙于救火而疲于奔命。人员士气低落，各部门各自为战。出了事互相指责。主人公在一位高人的指点下，开始了卓有成效的改革之旅。其中很重要的一个课题就是，到底根本问题出在哪里呢？为什么永远都觉得在疲于奔命？他们从把工作分类开始，一步步得找到了症结所在。大体分四类工作：Business Projects比如其他部门的要上一个商业应用或者新的商业流程，需要IT提供软硬件环境，实施设计开发并运维。这类项目是有其他部门为实现某种商业目的来驱动的。Internal& ...继续阅读 (7)

作者：范军 （Frank Fan） 新浪微博：@frankfan7   微信：frankfan7你可能会问，VMware混合云不是IaaS么，怎么说起应用了？如果我们回到原始的问题，搭建Infrastructure是为什么？虚拟化是为什么？公有云和私有云是为什么？一切都是为了应用。这也就是vSphere，尤其vCloud中都注重vAPP的原因。对于应用的使用，开发以及维护者，他们不需要太多的关心底层架构的实现。VMware（vCHS）混合云的推出，在应用为王这个理念上更推进了一大步。很多企业在选择云服务的几个顾虑。一从本地到远端移植的往往要化大力气，如果因某种原因，能不能容易实现从远端到本地的移植？二本地和远端的安全策略是否一致？使用云是否意味着失去控制？是否安全性降低？VMware混合云可以很好的解决上述的问题。因为无论本地，还是远端，应用可以在本地和远端双向移植，而无需在应用和网络设置上有任何更改。甚至一个应用的多个虚拟机可以在分散在本地和远端。同时还能对云端资源实现绝对控制和安全隔离。你不相信？咱们更进一步从技术架构上来大致介绍原理和如何实现。比如某企业有关键的应用在本地vSphere环境或者vCloud环境，因为某种原因需要将该应用从本地移植到VMware混合云（vCHS）。因为该应用还需要和本地的其他系统联系，不 ...继续阅读 (10)

作者：范军 （Frank Fan） 新浪微博：@frankfan7   微信：frankfan7最近网友留言很多，你既然看得起我问了，我就说说个人浅见。看看就行了，也别认真。Q:你具体工作是什么？A: 咨询的范围专注在虚拟化和云计算。具体的工作取决于不同的项目。有的项目作为售前参与合同协商和大概方案设计，有的项目作为架构师设计方案，有的项目作为项目经理带领团队实施。有的项目参与后期运维的优化和接管。Q:想问你一下如何去国外找工作，因为我也想去国外，在出国的路上，您能在讲细一点吗？像我快26岁的人了，出去是否值得？A: 出国是人生选择，而不是仅仅从职业发展考虑。每人的情形不同，如人饮水，冷暖自知。国内国外，无非是地点不同。如果能出来看看，当然在阅历上有收获。别人的经历，终究是别人的。听听可以，别太认真了。还是多想想什么是自己的核心竞争力吧。最后一句，千万别把出国当成目的！Q:因为工作2年了，我到现在还是觉得好多不会的，每天起床第一件事就是想着要去多学习多学习，但是到了空的时候，自己又不是知道再干什么了，就是说我对自己的一个发展和学习方向完全失去了平衡，有种无从下手的感觉，不知道您能不能了解的我心情，这是一种非常纠结，又非常矛盾的心态A: 以我个人经历而言，毕业头几年的积累非常重要， ...继续阅读 (6)

作者：范军 （Frank Fan） 新浪微博：@frankfan7   微信：frankfan7很早就读过一篇寓言，古老部落的年轻人外出闯荡，临行前请教年老的智者一些建议。智者说：“我给你两个纸条，第一个现在就可以打开，另外一个在三十年后再打开。”小伙子立刻打开了第一个，上面写着三个字“不要怕”。他铭刻在心，虽一路磕磕碰碰，却也有所收获。岁月神偷，小伙子转眼鬓已星星也。于是打开第二个纸条，也是三个字“不后悔”。心中羁绊，顿时释然。作为一个IT老兵，回头看看来时路，不胜唏嘘。冥冥中我的经历也与那篇寓言不谋而合。生命正如旅程，这旅程的大大小小的中转站中，“不要怕、不后悔”让我少了些犹豫和烦扰，多些果断和勇敢。本文是写给自己的对过往岁月的一个纪念，同时博君一笑而已。每个人都有自己对成功的定义。我认为自己是成功的，因为我始终没有放弃作一个和自己赛跑的人，每天如此。不要怕是一种精神。每当响起Rocky的主题音乐的时候，我总是激动莫名。图中高高扬起的拳头，不是示威，而是一种对自身伟大力量的敬畏。在毕业的前几年，不要怕让我能迅速适应多种不同的环境和工作。但必须承认多次换工作有些盲目，被技术牵着鼻子走，没有弄清“什么是我的核心竞争力”。在异国他乡打拼，不要怕让我能直面陌生的环境，在归零之后还能斗志昂扬。出国前在外企工作，身边 ...继续阅读 (5)

作者：范军 （Frank Fan） 新浪微博：@frankfan7   微信：frankfan7很多企业，尤其是大企业在产品开发和运维上存在着一些普遍问题，比如开发周期长、人员合作程度不高、开发和运维脱节等等。可看看一些巨型企业，比如Google，Amazon，Facebook,Salesforce等等，人家的规模不比你大，架构不比你复杂？为什么他们能做到大而灵？成功的因素固然有很多，而一个共同的因素是，他们都引入了DevOps的概念。DevOps是基于Agile和Lean发展而来的一种理念，目的是更好的优化开发和运维的流程，从而更快、更高效的实现产品更新。DevOps是由Development + Operation缩写而来，但绝不是二者的简单相加。引入DevOps需要在企业文化和技术上都要落实一些措施。在我们进一步介绍该理念之前，本文来探讨一些我见过的IT环境中的问题，尤其是在大企业中有普遍性的问题。上图想说的是由于组织结构、文化以及技术局限性的多种原因，各个组负责自己的一亩三分地，别组的事情不管我事，我也根本不知道别人在干什么。那产生的后果呢，咱们从项目的各个环节一一道来。设计阶段需求分析和后面的环节脱钩。往往大费时间精力制定的需求，在后续阶段中不能很好的执行。可能的原因有：一需求本身的质 ...继续阅读 (14)

作者：范军 （Frank Fan） 新浪微博：@frankfan7   微信：frankfan7有个故事说某人经过了一个建筑工地，看到有些人站在好几层高的脚手架上，在一面墙前忙活着，问你们在干什么呢？第一层的人答道：“这不明摆着么？我在磊砖呢“接着问第二层的人，道:”我正在砌一面墙，不仅起承重的作用，在功能上是大厅走廊的一个连接部分，和其他很多部分都有联系”。接着问第三层的人，说：“我在建一座智能大厦，未来在这里办公的人能在合理设计的空间内实现高效的合作”​如果拿这个故事来比喻IT架构设计的话，可能不太恰当。我只是借故事传达个意思。第一层的架构师看到的只是产品本身。例子中指的是砖。按照客户的要求，我给他磊砖就是了。我想的是砖怎么磊的整齐，怎么牢靠。至于其他的我不太关心。以产品为导向的供应商中，这种思维模式并不少见。因为过多关注产品本身，局限了你站的高度和思维方式。这需求特别清晰并不经常变化的情况下，这种专注可以带来短期的有效收益。可是在当今多变的IT环境下，这种思维限制了可持续的发展，也消极的放弃了在产品之外增加利润增长点的可能性。第二层的架构师不仅看到自己的产品，还看到了整体的方案。除了砖本身之外，看到了墙以及其他的连接部分。在大型的项目中，往往某些产品只是全局的的一个部分而已，用户真正关心的是整体方案是否能满足需求，以 ...继续阅读 (11)

作者：范军 （Frank Fan） 新浪微博：@frankfan7   微信：frankfan7VMware混合云服务（vCHS）预计在2013年8月23日正式面向用户推出。目前开放服务的四个数据中心都在美国。我受邀和全球其他15位VCDX/vExpert加入VMware混合云的EarlyAccess Program。从而让我有机会能在这位大家闺秀正式亮相之前一睹芳容。我在VMware混合云–IaaS三国演义一文中介绍了vCHS发布会后的个人分析，本文将进一步聊聊混合云的架构。首先什么是混合云。本文所指的云特指IaaS。 PaaS和SaaS的情形以后再谈。Gartner的定义的混合云涉及到了私有云和公有云的实施及它们之间的整合。通常有以下几种情形。·本地私有云整合远端公有云·本地私有云整合远端私有云·远端私有云整合远端公有云是不是有点像绕口令？别急，VMware混合云服务属于第一种情形，这是咱们本文的重点。其次本地私有云整合远端公有云的几个应用场景场景一：充分使用本地资源，必要时能灵活扩展某公司的私有云在某个特定时期（比如财政年终，或者推出特别市场推广活动）负荷会比平时高出很多倍，如果完全靠私有云满足，那意味着有很大一部分资源80%的时期是闲置的。也可以选择平时的负载靠本地私有云，在负荷突然增大时，可以 ...继续阅读 (9)

作者：范军 （Frank Fan） 新浪微博：@frankfan7   微信：frankfan7IP  Storage （NFS和iSCSI）的内容很多，本文仅仅探讨一些网络方面设计上的考虑。Dedicated Network选择一为IPStorage分配专有的物理网卡一是为了保证带宽，无需和其他的应用竞争网络资源。二是为了安全隔离。除了vLAN之外，专有的物理网卡进一步加强了隔离。如果对安全特别在意的话，甚至可以考虑为IPStorage的portgroup单独分配一个虚拟交换机。假设一台ESXi主机配置有两个虚拟交换机，它们之间的通讯是必须经过三层路由设备的。选择二  IP Storage和其他PortGroup的共享物理网卡连接在ESXi主机上10G网卡的数量不多时，通常采用共享的方式。可以考虑使用NetworkI/O Control以避免某个PortGroup独占网络资源。两种选择各有其适用的环境。Teaming情景一：某公司的虚拟环境使用NFS。ESXi主机有六个1G网卡。如何设计NFS网络呢？选择一：为NFS分配两个物理1G网卡。创建一个VMkernel 端口连接到这两个物理网卡。使用IPHash routing。dVS的负载均衡策略使用Routebased onIP Hash。这就要求物理交换机必须支持st ...继续阅读 (17)

作者：范军 （Frank Fan） 新浪微博：@frankfan7   微信：frankfan7Network teaming 这个概念在物理服务器中早就很普遍，我们往往会在物理服务器设置多个物理网卡的Teaming，除了防范因为网卡故障造成的单点故障之外，还有负载均衡的目的。在虚拟环境中，绝大多数情况下无需为了容错或者负载均衡的目的，为一个虚拟机连接多个虚拟网卡。因为容错或者负载均衡的任务交付给虚拟交换机和其连接的多个物理网卡了。怎么来实现呢？这就需要在设置虚拟交换机上设置NetworkTeaming Policy。五种策略选择中哪一种才适合你的环境？Route based on originating virtual portRoute based on IP Hash (only one supported withStatic Etherchannel and Static 802.3ad)Route based on Source MAC addressRoute&n ...继续阅读 (11)

作者：范军 （Frank Fan） 新浪微博：@frankfan7   微信：frankfan7有网友在桌面虚拟化-精彩刚刚开始留言，认为很多方面没有说透。桌面虚拟化是个大的课题，我们慢慢来展开讨论。本文简单介绍桌面虚拟化的定义、几个适用的情景，以及架构设计的选择。定义：Desktop virtualizationis a technology that decouples a PC desktop environment from a physical deviceso that the virtual machine (VM) of the PC desktop stored in a centralizedserver can be accessed from a remote client device through a network.  ...继续阅读 (2)

作者：范军 （Frank Fan） 新浪微博：@frankfan7   微信：frankfan架构师有创意的设计方案，有时可以节省大量的硬件成本和后期的维护成本。有些情况下用好PVLAN，可以简化网络管理，而又满足安全隔离的需要。概念PVLAN的概念早就在物理网络中就有，vSphere Distributed Switch在hyperviosor层实现了这个概念。Private  Primary PVLAN5 就是我们传统的VLAN，它自己是primary，在它的下面又分出了很多个Secondary PVLAN。每个seconary PVLAN 都有一个ID。三种Secondary PVLAN的类型是：Promiscuous：属于Promiscuous的虚拟机E和F 可以和同属于一个PrimaryVLAN的任何设备通讯。  Promiscuous的PVLAN  ID 和Primary VLAN ID 是一样的。在上图中都是5Community：同属于Community PVLAN的虚拟机A和B之间可以通讯，可是他们不能和除了P ...继续阅读 (5)

作者：范军 （Frank Fan） 新浪微博：@frankfan7   微信：frankfanvLAN tagging 在VMware网络设计中有三种实施的选择。我们首先要问的不是技术上能实现什么，而是客户的需求是什么，然后再选择合适的方案。情景一  (Virtual Switch Tagging)这是最常见的一种方式。vSwitch上的每一个Port group对应一个vLAN.   当数据包从物理交换机向虚拟交换机传输时，绑定标签。当数据包从虚拟交换机向物理交换机传输时去除标签。最大的好处是ESXi的一个物理网卡可以支持多个vLAN.  而虚拟机无需任何驱动可以绑定到某个vLAN对应的Port  Group上常见的初级错误是在port group上设置了vLAN ID，可是该ESXi物理网卡所对应的物理交换机端口上没有在Trunk中定义该vLAN.考虑因素：在对应虚拟网络Port  Group vLAN时，尽量不要使用物理交换机上的NativevLAN.  也就是Cisco交换机通常是vLAN1 &nb ...继续阅读 (7)

作者：范军 （Frank Fan） 新浪微博：@frankfan7   微信：frankfan7问题描述:哪一种vSwitch最适合你的环境？vSphere Standard Switch(vSS),vSphere Distributed Switch（vDS）还是Cisco Nexus 1000v？情景一：某小型公司预计在虚拟环境中部署ESXi主机5台，目前购买软件许可的预算不多。IT人员有一定的VMware知识，可实践经验还需要积累。推荐方案：vSphere StandardSwitch(vSS)Management Plane是用来更改vSwitch配置的，而DataPlane是用来具体传输数据包的。使用vSS的情况下，每台主机都有各自的Management Plane和DataPlane。主机之间没有相互影响关系。选择理由：vSS无需购买EnterprisePlus许可，可以节省费用。主机数目不多，而且小型环境的配置相对不太复杂，基于ESXi主机的vSS方案可以满足需求该设计决定的影响:因为vSS需要在每台ESXi主机上配置，最好考虑使用Script或者vMA来避免配置的不一致性。情景二：某公司的虚拟化设计方案比较复杂，ESX ...继续阅读 (16)

作者：范军 （Frank Fan） 新浪微博：@frankfan7   微信：frankfan7在存储设计中最常用的一个性能衡量参数就是IOPS，但是不是仅IOPS就足以帮助我们作出设计决定呢？这方面有很多认识上的误区。绝大多数情况下仅仅单独考虑IOPS是没有意义的。本文以一个案例来带你了解全面考虑影响存储性能的方方面面。因为影响存储性能的因素太多了，而且不同存储产品的特性和处理方式也不同，为了简化的目的，本文暂不讨论Write/Read ratio，Sequential/random,  RAID Penalty，Cache，Dedupe，auto-Tiering，Partition Alignment等因素。衡量指标：Throughput单位时间内传输的数据量。往往以KBPS或MBPS来衡量。Latency (响应时间)指完成一个IO请求所需要的时间。往往以milliseconds来衡量。IOPSInput-Output Per Second。衡量在一秒内能完成多少读操作和写操作。Latency和IOPS的关系IOPS = 1000/(Seek Latency+ Rotational  ...继续阅读 (12)