ESXi Server Deployment Checklist – 3

ESXi sunucu kurulum adımlarımıza bu son bölümde de devam ediyoruz. Kurulum adımlarının birinci ve ikinci kısımlarına da yazının alt bölümündeki linklerden erişebilirsiniz. Kurulum adımlarımız biraz uzun olduğu için konuyu üç ayrı makale şeklinde sizlere iletmek istedim.

  • Deploy the patches to ESXi hosts: Sunucunuzu vCenter’a bağlayıp lisans ataması yaptıktan sonra bence en önemli adım sunucuya ESXi patch lerini geçmek olmalıdır. vCenter üzerinde Licefecyle Manager (vSphere Update Manager) kullanarak son çıkan patch leri / driver update lerini gönderebilirsiniz. Sunucuyu maintance moda alın ve güncellemeleri yükleyin.

 

  • Checking VSAN Compability Guide: Eğer ortamınızda VSAN varsa ve bu sunucuda VSAN hizmeti verecekse, bu aşamada sunucunuzdaki disk controller ve disklerinizin firmware ve driver versiyonlarını kontrol edin. Eğer güncelleme gerekiyorsa, bu aşamada onu da tamamlayın.

 

    1. VSAN Ready Node kullanıyorsanız – VMware Compatibility Guide
    2. VSAN Ready Node kullanmıyorsanız, yani disk/disk controller ürünlerinizi kendiniz seçtiyseniz , aynı sayfada bulunan “Build Your Own based on Certified Components” linkini tıklayın ve yeni açılan sayfada kontrollerinizi yapın.

 

  • DNS Configuration: vCenter üzerinde sunucunuz seçip, Configure tabına gidin ve sunucunuza DNS bilgilerini girin. ESXi hostlarınızı domain e dahil ediyorsanız, domain isminizi hem domain name kısmına hem de search kısmına girmeyi unutmayın.

 

  • Configure NTP Settings: Yine host – Configure tabına gidip, Time Configuration kısmında sunucuza bir NTP server girin. Servisi başlatın ve Servis her zaman “Start and stop with host” seçeneği seçin. Bu açılan pencerede “Enable NTP client” seçmeyi de unutmayın. Arkadaşlar bu NTP server bilgisi genelde atlanıyor ve inanın ortamınızda bazen anlam veremediğiniz, yada sorunu ararken gözden kaçırdığınız bir kısım olabiliyor. Bu nedenle başınız ağrımasın, siz sunucuya her zaman bir NTP server girin. Ortamınızda NTP server yoksa, internette araştırın ülkemiz için public hizmet veren NTP sunucular olduğunu göreceksiniz, onları sunucunuza NTP server olarak girebilirsiniz. (Link: NTP Pool Servers)

 

  • Configure vmkernel Ports: ESXi host – Configure tabında network kısmına gittiğinizde varsayılan olarak kurulumda gelen vmk0 vmkernel interface ini göreceksiniz. Bunun üzerinde sağ tıklayın ve bu vmkernel üzerinden hangi trafik tiplerini geçmesi gerekiyorsa, onları seçin. (Default : Management). Aslında eğer ortamınız müsaitse (network / uplink vs.) birden fazla farklı subnetlere sahip vmkernel interface açmanız önerilir. Mesela sadece vmotion için bir vmkernel, VSAN için ayrı bir vmkernel gibi. Bu ek olarak tanımladığınız vmkernel interface lere gateway vermeden (non-routed) olarak ESXi hostlarınızın haberleşmesi en uygunudur. Sizin ortamınızı ve ihtiyaçlarınızı en iyi siz bilirsiniz. Bu konuda VMware vSPhere networking best practices leri incelemenizi kesinlikle tavsiye ederim. (Link)

 

  • Moving to VDS: Sanal ortamınızda artık mümkünse Virtual Standard Switch yerine Virtual Distributed Switch (VDS) kullanmanızı tavsiye ederim. Hem merkezi yönetim hem de diğer özellikler açısından bu sizin yararınıza olacaktır. Yeni kurulan host u VDS e taşıyın. Sonrasında mevcut standard switch i (VSS) silin. ESXi host – Configure kısmından işlemin başarıyla tamamlandığınızdan emin olun. Uplinklerinizi kontrol edin. Management network ünüzü (vmkernel) kontrol edin. Bilgisayarınızdan hostunuza ping çekerek kolayca network erişiminizi kontrol edebilirsiniz.

 

  • Applying Basic Hardening Steps: Güvenlik günümüzde her kurum için önem taşımaktadır. Bu aşamada ESXi hostumuz üzerinde basit bazı parametleri güncelliyor olacağız. Aşağıdaki adımlar en basitleridir. Siz şirket politikalarınıza göre bu değerleri güncelleyebilir yada daha fazla parametreyi de güncelleyip ortamınızı daha güvenli hala getirebilirsiniz. (VMware Hardening Guides)

ESXi host – Configure tabında Advanced Settings altında bu adımları güncelleyebilirsiniz.

    1. PasswordQualityControl = retry=3 min=disabled,disabled,15,7,7 passphrase=4 (Kaynak)
    2. Access = root
    3. DcuiTimeOut = 300(DCUI 5 dakika sonra eğer kullanılmıyorsa kapatılır)
    4. ESXiShellInteractiveTimeOut = 300 (Açılan Shell servisi login olmadan önce kaç dakika beklesin demektir)
    5. ESXiShellTimeout = 300 (Açık unutulan ESXi Shell eğer kullanılmıyorsa 5 dakika sonra kapatılır)
    6. BlockGuestBPDU = 1 (ortama kurulacak sanal bir makine ile network ün loop düşürülmesi mümkündür)
    7. DVFilterBindIpAddress = buradaki değer boş olmalı
    8. AccountLockFailures = 3 (3 denemeden sonra root account kilitlenir.
    9. HostAgent.plugins.hostsvc.esxAdminsGroup = Burada ESXi host e-er domain e üye olacak sanal ortam adminlerinin AD grubunu direkt olarak yazmalısınız. (Örnek: Company_vcenter_admin_team)

 

  • Enable ESXi Side-Channel Aware Scheduler: ESXi sunucunuzda Intel CPU kullanıyorsanız Hyperthreading ile ilgili bu açığa göz atmanızı tavsiye ederim. Ortamınıza ve güvenlik politikalarınıza göre SCAv1 kullanabilir veya SCAv2 yi aktif edebilirsiniz. Bu açık AMD ve yeni nesil Intel cpu ları kapsamaz. Siz yine de bir göz atın. (KB 55806)

 

  • ESXi Syslog configuration: Ortamınızda syslog server varsa, aşağıdaki ayarları ESXi cli ekranına PUTTY ile SSH tan erişip gerekli konfigürasyonu yapabilirsiniz. Yalnız unutmayın ESXi host ile SYSLOG sunucu arasında firewall varsa 514 portunu açmalısınız.
    1. esxcli system syslog config set –loghost=’udp://syslog_server_hostname:514′
    2. esxcli system syslog reload
    3. esxcli network firewall ruleset set –ruleset-id=syslog –enabled=true
    4. esxcli network firewall refresh
    5. localcli system snmp set –loglevel=warning
    6. nc -z solarwinds 514 –> Syslog server a erişim kontrolü

 

  • Monitoring Host: ESXi sunucunuzu ortamınızda bulunan bir izleme aracınız varsa, ona eklemenizi tavsiye ederim. Monitoring araçları genelde vCenter seviyesinden izleme yapabilir ama yine de ESXi sunucunuz vCenter a eklendikten sonra monitoring yazılımının envanter listesine gelip gelmediğini kontrol edin. Sunucu monitoring bu işin olmazsa olmazıdır.

 

  • Adding server to Active Directory Domain: Sunucu erişimlerinizi yönetmek için ortamınızda Active Directory varsa, sunucunuzu domain e üye yapmanız yararınıza olabilir. (KB 2075361)

 

  • Power Policy: ESXi host kurulumunda BIOS aşamasında power policy olarak Maximum seçmiştir. Bunun aynısını işletim sistemi seviyesinde de yapmanızı öneririm. ESXi host 7 için Configure tabında Overview kısmından bunu değiştirebilirsiniz. Default değer balanced olarak gelmektedir. (Kaynak:Link)

 

  • Free Health Check: En sevdiğim özelliklerden birisidir. ESXi hostunuzun monitör tabına gidin ve alt kısımda Skyline Health göreceksiniz, burada VMware sizin adınıza yeni kurduğunuz ESXi host ta standart birçok kontrolü yapıyor ve eğer sorun varsa size burada gösteriyor. İnsan hatasını en az indirgemek için sunulan mükemmel bir özellik. (Kaynak: Link)

Ayrıca ESXi host – Monitor tabından da hardware seviyesinde bir sorunumuz var mı yok mu kontrol edelim.

 

  • Adding host to the cluster: Tüm ayarlarmızı yaptık. Monitoring tool umuz varsa son kez hostumuzun sağlık durumunu da orada kontrol edelim. Eğer cluster da NSX veya VSAN kullanıyorsanız, onların özelinde de ayarlarımızı yapmayı unutmayalım. Herşey yolundaysa maintenance modda olan hostumuzu artık cluster a ekleyebiliriz.

 

  • Adding host to DRS rules: Mevcut cluster ımızda DRS kurallarımız varsa, yeni kurulan hostumuzu da bu kurallara eklemeyi unutmayalım.

 

  • Exit host from maintenance mode: Artık hostumuzu maintenance moddan çıkaralım. Summary tabında hostumuzla ilgili bir uyarı veya hata yoksa kullanıma hazır demektir.

Üç bölümden oluşan bu makale serimizde sıfırdan bir sunucuya ESXi kurulumu anlattım. Adımların bir kısmı sizlere eksik yada fazla gelebilir. Gerekli iyileştirmelerinizi şirket profilinize uygun olarak yapıp, kendi ESXi kurulum kontrol listenizi yapmanızı tavsiye ederim. Her yeni gelen versiyonda da bu adımları güncellemeyi unutmayın.

Makelemizin diğer bölümlerine de aşağıdaki bağlantılardan erişebilirsiniz:

ESXi Deployment Checklist – 2: Link

ESXi Deployment Checklist – 1: Link

Herkese kolay gelsin.

 

tolgaasik

Share