PC 5.5 – What’s New? Nutanix Self-Service Portal v2

Die Evolution des nativ integrierten Nutanix Self-Service Portal (SSP), was hat sich getan und welche neuen Möglichkeiten bieten sich mit AOS 5.5?

Mit AOS 5.5 respektive dem dazugehörigen neuen Prism Central (PC) 5.5 Release hat sich ein Punkt maßgeblich verändert. Denn bisher war das SSP fester Bestandteil der Nutanix Controller Virtual Maschine (CVM) und somit limitiert auf ein einzelnes Nutanix Cluster. Mit dem neuen Release zieht das SSP um, nämlich aus der CVM, in Prism Central. Ein elementar wichtiger Schritt, um das Thema Self-Service in der privaten Cloud weiter zu optimieren.

Für die Leser, die Prism Central noch nicht kennen, PC ist eine zentrale Instanz, welche es erlaubt, mehrere Nutanix Cluster zentral zu verwalten. Egal ob mehrere lokale Cluster innerhalb eines Rechenzentrums (RZ) oder in verteilten Umgebungen, wie im Falle von Außenstellen.

Aber was macht diesen Umzug jetzt besonders? Die Tatsache, dass jetzt alleine durch das einfache Deployment von Prism Central, oder eines Upgrades des vorhanden PC, ein zentrales Self-Service Portal zur Verfügung gestellt werden kann, welches erlaubt Workloads Cluster übergreifend, bzw. in verschiedenen Nutanix Clustern auszurollen.

SSPv2_PC_Clusters_Overview

Das Look and Feel des bisherigen SSP wird größtenteils beibehalten und an einigen Stellen um neue Funktionen erweitert. Auch integriert sich in Prism Central in bereits bekannte Strukturen der „Explore“ Ansicht, dazu aber gleich mehr.

Migration des SSP

Führt man ein One-Click Upgrade des Nutanix Clusters auf AOS 5.5 durch, so erhält man direkt den ersten Hinweis darauf, dass das SSP umzieht. Wie der Hinweis ebenfalls nahelegt, bitte zuerst Prism Central auf 5.5. aktualisieren.

AOS5.5_Upgrade_SSP_Warning

Loggt man sich anschließend in Prism Central ein und hat dieses vorher erfolgreich auf 5.5 aktualisiert, erhält man auch hier einen nicht zu übersehenden Hinweis, dass das SSP noch migriert werden muss.

PC5.5_Upgrade_SSP_Warning

Dazu sind nur zwei Schritt notwendig. Wobei jedes SSP einzeln zu migrieren ist, sprich betreibt man bereits mehrere Cluster mit aktiviertem SSP, so muss folgendes entsprechend mehrfach durchgeführt werden.

Das war die Migration, damit wurden alle bestehenden Rollen, Projekte, etc. in das neue SSP in Prism Central übertragen.

Danach oder sofern bisher kein SSP genutzt, kann wie folgt das SSP als auch CALM (Apps) aktiviert werden.

SSPv2_Enable_SSP_and_Apps

Schritt 1: Die AD Anbindung.

SSPv2_Enable_SSP_and_Apps2

Schritt 2: Definition der SSP Administratoren (AD User oder Gruppen) und einem Default Cluster.

SSPv2_Enable_SSP_and_Apps3Schritt 3: CALM/Apps aktivieren, auf welches über das SSP zugegriffen wird. Mehr Details zu CALM folgenden in einem eigenen Artikel.

SSPv2_Enable_SSP_and_Apps4Jetzt ist das SSP startklar. Wie bereits erwähnt, integrieren sich die SSP Komponenten nahtlos in die neu strukturierte „Explore“ Ansicht in Prism Central. Wobei zu erwähnen ist, dass es sich bei der folgenden Ansicht um die administrative Ansicht handelt, daher werden hier noch deutlich mehr Menüpunkte angezeigt, welches dem User später verborgen bleiben.

PC5.5_Explore_Overview_SSP_Integration

Rollenbasierter Zugriff (RBAC)

Prism Central erhält mit diesem Update ein neues Rechtekonzept, welches einen rollenbasierten Zugriff auf das SSP & CALM erlaubt. Sprich es kann ein Active-Directory oder ein Open LDAP Verzeichnis angebunden werden und dann innerhalb von Projekten, den Benutzern entsprechende Berechtigungen über Rollen zugewiesen werden. Somit kann z.B. eine AD-Gruppe mit der vordefinierten Rolle „Consumer“ und andere Benutzer wiederum, mit einer selbst definierten Rolle unterschiedlich innerhalb des Projekts berechtigt werden.

SSP_Project_User_Role_Mapping

Eine zusätzliche Option wurde eingeführt um zu kontrollieren, ob ein Benutzer innerhalb eines Projektes, ebenso Zugriff auf die Workloads anderer Benutzer erhalten soll oder nicht.

SSP_Project_Collaboration

Generell wurden die Rollen im Vergleich zur vorherigen Version deutlich ausgeweitet, da natürlich neben dem SSP noch weitere Neuerungen in Prism Central Einzug gehalten haben, wie z.B. Nutanix CALM, deren Nutzung zukünftig über das gleiche Rollen-Konstrukt gesteuert werden kann. CALM ist dabei ein Thema für sich, daher hier für den Moment nur die Übersicht aller Berechtigungen, die einer Rolle zugewiesen werden können. Am Rande sei erwähnt, dass die Berechtigungen für Acropolis Container Services (ACS) 1.0 entfernt wurden, da ACS in seiner bisherigen Form nicht weiter angeboten.

SSPv2_Role_Overview

 Cluster Zuweisung

Das SSP erlaubt es jetzt, dass innerhalb des Projekts zugeordnet wird, auf welchem Nutanix Cluster die Workloads ausgerollt werden dürfen. Somit kann man sehr einfach steuern, dass beispielsweise Fachabteilungen an Standort A, nur Workloads auf deren lokalen Cluster A ausrollen/nutzen dürfen und keine Möglichkeit haben, sofern nicht bewusst dazu berechtigt, Workloads auf Cluster B in Standort B zu starten.

 

SSP_Project_Cluster_Selection2

Im Folgenden noch einmal alle Einstellmöglichkeiten, welche den SSP-Administratoren auf Ebene eines Projekts zur Verfügung stehen. Im Bereich der Netzwerke tauchen dann natürlich nur die Netze auf, die dem ausgewählten Nutanix Cluster bekannt sind. Im Bereich der Quotas gab es keine Änderungen.

SSPv2_Project_Overview

Use Cases gibt es dabei zuhauf, beispielsweise ist man so in der Lage, Benutzern in Außenstellen Konsolen-Zugriff auf deren eigene VMs zu geben. Oder aber, dass entsprechende Fachabteilungen sich Workloads, gleich ob produktiv oder zu Testzwecken, auf den dafür vorgesehenen Nutanix Clustern ausrollen können. Alle haben dabei eins gemeinsam, die IT-Abteilung zu entlasten und gleichzeitig den Benutzern mehr Kontrolle und ein „Cloud Like“ User Experience zu ermöglichen. Warum also in die Public Cloud gehen, wenn es jetzt im eigenen RZ genauso einfach geht?

 

Images & Guest Customization – Anpassung der Gastbetriebssysteme

Ein weiteres Detail ist, dass es ebenso möglich ist, wenn man als Benutzer neue VMs ausrollen möchte, einfach eine entsprechende „Guest Customization“ durchzuführen. Sprich das beispielsweise der Hostname auf den VM Namen angepasst wird, oder das ein entsprechendes admin/root Passwort gesetzt wird, um ein paar gängige Beispiele zu nennen. Die SSP-Administratoren können dabei für jedes Template einige Vorgaben machen, was ein Benutzer während des Deployments angeben muss bzw. darf, um die Angaben möglichst zu reduzieren. Fügt ein Administrator eine vorhandene VM in den „Catalog“ hinzu, können entsprechende Anpassungen vorgenommen werden. Alternativ können aus cloud-init bzw. sysprep Skripte angeben werden.

SSPv2_Add_VM_to_Catalog

Der Name ist der Name unter dem das Template später im Catalog zu finden ist und diesem werden entsprechend die getroffenen Einstellung mitgegeben.

SSPv2_GuestCust_Overview

In diesem Fall würde diese VM bzw. das „Catalog“ Objekt, also die Quell-VM aus der neue VMs erzeugt werden können, nur in dem Cluster zur Verfügung gestellt, in dem die Quell-VM existiert.

Möchte man eine VM global über Cluster Grenzen hinweg anbieten, so kann man daraus ein Image generieren und in den neuen Image Service importieren. In den Versionen < 5.5, war dieser Dienst ebenfalls lokal und an einen Nutanix Cluster gebunden. Mit AOS bzw. PC 5.5 können die Images jetzt zentral gepflegt werden.

Leider gibt es hierfür noch keine One-Click Prozess, der aus einer VM ein Image im zentralen Image Service erzeugt. Hierzu muss man noch auf die CLI zurückgreifen.

Auf einer CVM, auf der die Quell VM läuft per SSH einloggen und den Pfad zur vDisk heraussuchen:

vm.get TESTVM include_vmdisk_paths=1

Anschließend in Prism Central per SSH einloggen und den Pfad in folgendem Befehl verwenden. Die unten angegebene IP ist eine CVM IP Adresse um auf den Storage container zuzugreifen:

image.create name=Win2016 image_type=DISK_IMAGE source_uri=nfs://172.23.2.16/VMs/.acropolis/vmdisk/c85d183c-1756-4069-90dd-d80ac188e07c

Ist die gewünschte Datei im Image Service, so kann dieses den Usern über den Catalog zur Verfügung gestellt werden.

SSPv2_Add_to_Catalog_Items

 

Frontend – Benutzer Ansicht

Loggt sich jetzt ein Benutzer ein sieht er erst einmal folgendes, wobei die Ansicht variieren kann, je nachdem welche Rolle dem Benutzer zugeordnet wurde.

SSPv2_User_Default_Overview

Über „Create VM“ kann der Benutzer einfach neue VMs ausrollen. Im Folgenden wird genau dieser Prozess dargestellt.

SSPv2_User_Create_VM_1

Dann kann er entweder aus den VM Templates oder Disk Images wählen. Bei den VM Templates wird nicht nur eine vorinstallierte vDisk als Grundlage hergenommen, sondern eben auch die gesamte virtuelle Hardware Konfiguration. Während es bei den Disk Images, wie der Name schon andeutet, nur um eine vDisk handelt, auf der das Betriebssystem bereits installiert ist. Oder alternativ um ein ISO, sodass User selbstständig eine Installation durchführen könnten.

Abschließend können gewünschte oder benötigte Anpassungen vorgenommen werden, bevor die VM abschließend ausgerollt wird. Beispielsweise kann das Projekt und somit auch das Zielcluster ausgewählt werden oder auch das Zielnetzwerk, sofern im Projekt mehrere zur Auswahl hinterlegt wurden.

SSPv2_User_Create_VM_4

Ist die VM ausgerollt, so kann der Benutzer jetzt alle Aktionen mit der VM durchführen, die seiner zugeordneten Rolle entsprechen, wie beispielsweise die VM Konsole öffnen.

SSPv2_User_Manage_VMs2

So viel zu den Basisfunktion des neuen Self-Service Portals, wobei es sich hier nur um einen Baustein der Enterprise Cloud handelt. Ein weiterer essentieller Baustein ist die CALM Komponente, welche im nächsten Artikel genauer erläutert wird. Aber hier schon mal ein kleiner Vorgeschmack.

SSPv2_CALM_Teaser

Nutanix Self Service Portal (SSP)

In diesem Artikel soll es um eine Lösung gehen, wie IT-Abteilungen die Kollegen der internen Fachabteilungen bequem mit einem Self-Service Portal in die Lage versetzen, Ressourcen selbständig zu provisionieren und zu verwalten. Damit soll dazu beigetragen werden, dass sich wiederholende Aufgaben, wie das provisionieren und installieren von VMs oder speziellen Applikationen, automatisiert oder an die Fachabteilungen ausgelagert werden kann. So werden Ressourcen frei, mit denen die IT-Abteilung weiter an innovativen Lösungen für das Business arbeiten kann.

Aus Nutanix Sicht betrachtet, soll die Inbetriebnahme eines solchen Self-Service nicht in einem Kraftakt ausarten, sondern möglichst einfach von statten gehen. Der Gedankengang der bei der Entwicklung daraus entstanden ist letztlich das integrierte Self-Service Portal (SSP) als neuer, integraler Bestandteil der Nutanix Enterprise Cloud Plattform.

Die Inbetriebnahme ist Denkbar einfach, dazu einem dem Self Service Menüpunkt im Prism Hauptmenü folgen.

SSP-Enable-Menu

Eine weitere Besonderheit ist die hohe Verfügbarkeit. Wie Prism selbst, wird das SSP verteilt über alle CVMs eines Clusters bereitgestellt und ist demnach entweder über die „Cluster Virtual IP Address“ (CVIP) oder über die IPs der einzelnen CVM erreichbar. Am einfachsten ist aber der Zugriff über die CVIP, via https://<CVIP&gt;:9440/ssp – so ermöglicht man den Benutzern den einfachsten Zugang. Diese IP ist eine „floating IP“ und kann z.B. bei rollierenden AOS Upgrades, von CVM zu CVM wandern und bietet so eine sehr hohe Verfügbarkeit.

Bei der ersten Inbetriebnahme muss lediglich die Active Directory Anbindung eingerichtet werden und entsprechend Benutzer/Gruppen als SSP Administratoren hinterlegt werden.

SSP-Connect-AD-1

SSP-Connect-AD-2

Das war es auch schon, jetzt kann es bereits losgehen. Aus IT-Sicht müssen noch ein paar wenige Grundlegende Einstellungen getroffen werden.

SSP-Admin-Overview

Das SSP beschränkt sich nicht alleine auf das Deployment von virtuellen Maschinen (VMs) sondern ermöglicht es auch, Docker Container zu provisionieren. Den Teil der Docker Container habe ich bereits in einem extra Artikel erklärt.

 

Berechtigungen

Neben einigen vordefinierten Rollen, gibt es die Möglichkeit auch eigene Rollen mit entsprechenden Berechtigungen zu definieren.

SSP-Default-Roles

So kann z.B. auch kontrolliert werden, dass in einem Projekt keine neuen Ressourcen provisioniert werden dürfen und man so Benutzern aber trotzdem einfach Konsolenzugriff auf die eigenen VMs ermöglicht.

SSP-Add-Roles

 

Projekte

Danach kann man Bereits ein Projekt anlegen. Ein Projekt ist quasi die kleinste organisatorische Einheit, welcher Benutzer mit entsprechenden Berechtigungen und Quotas zugewiesen werden können. So kann ein Projekt tatsächlich ein Projekt oder aber auch z.B. eine Abteilung repräsentieren.

SSP-Add-Project

Neben einem Namen für das Projekt, können jetzt die gewünschten AD Benutzer oder Gruppen hinzugefügt werden und mit dem gewünschten Rollen verknüpft werden. Zusätzlich können die Netzwerke (VLANs) ausgewählt werden, in denen die Benutzer VMs deployen dürfen. Zum Abschluss besteht optional die Möglichkeit dem Projekt eine Quota zuzuweisen, um die zur Verfügung stehenden Ressourcen einzuschränken.

 

Catalog / Templates

Jetzt fehlt nur noch ein Katalog bzw. Templates, aus denen Benutzer auswählen können. SSP Administratoren können einfach vorhandene VMs in den „Catalog“ aufnehmen, sodass diese für diese als Quelle für die Provisionierung zur Verfügung stehen. Im Hintergrund wird ein Snapshot der VM erstellt, sodass dieser als persistente Quelle dienen kann.

SSP-Add-Image-to-CatalogSSP-Add-VM-to-Catalog-2SSP-Catalog-Items

Zusätzlich greift das SSP auch auf den Nutanix „Image Service“ zu, welcher ISOs oder fertige Disk Images bereithält. Diese können ebenfalls dem Catalog, der übrigens allen SSP Benutzern zur Verfügung steht, hinzugefügt werden.

Auch können vorhandene VMs den Besitzer wechseln. Sodass diese entsprechend bei den Benutzer im Portal auftauchen.

SSP-Manage-Ownership1SSP-Manage-Ownership2

Loggt sich jetzt ein Benutzer ein, so werden diesem nur die Ressourcen aus den zugewiesenen Projekten gezeigt. In diesem Beispiel, wurden noch keine VMs innerhalb des Projekts erstellt. Über den Button Create VM, lässt sich dies jedoch schnell ändern.

SSP-User-No-VMsSSP-Deploy-VM-1SSP-Deploy-VM-2SSP-Deploy-VM-3

Die folgenden Screenshots zeigen, dass Benutzer selbst ihre VMs neu starten, löschen oder auch einfach die VM Konsole starten können.

SSP-User-Overview-1SSP-User-Console

Derzeit ist die Nutzung des SSP auf ein Nutanix AHV Cluster beschränkt und es besteht noch keine Möglichkeit Cloudinit oder Sysprep während des Deployments zu verwenden, jedoch kann man hier gespannt sein, wie sich im Laufe des Jahres das SSP noch weiterentwickelt. Die entsprechenden Neuerungen werden natürlich auch hier wieder im Detail erklärt vorgestellt.