Instalacja ESXi na module serwisowym routera Cisco ISR G2

Witam po długiej przerwie.

Przybliżę Wam bardzo ciekawe rozwiązanie na zintegrowanie na jednym routerze usług sieciowych jak i aplikacyjnych (np. kontroler domeny, itp). Mowa będzie o module serwera do routera Cisco ISR G2 zwanego modułem serwisowym Cisco SRE-V (Cisco Services Ready Engine Virtualization). Jest to nic innego jak karta zawierająca komputer klasy PC umożliwiający uruchomienie dedykowanego oprogramowania Cisco np. vWAAS (Virtual Wide Area Application Services) lub dedykowanego hypervisora ESXi (a z jego pomocą dowolnego systemu operacyjnego zgodnego z x86 zarówno 32-bit jak i 64-bit).

SRE-wygląd

Przybliżę Wam sposób instalacji ESXi, bo nie jest on tak oczywisty jak na zwykłych komputerach PC. Pewnie zastanawiacie się co może być skomplikowanego w instalacji wirtualizatora VMware – „wkładam płytkę i samo się instaluje…” fakt, tylko gdzie w routerze znajdziemy napęd CD? Jego brak jeszcze nie byłby problem, bo mamy do dyspozycji port USB, ale przecież router może być setki kilometrów od nas, a przecież nie będziemy specjalnie jechać aby zainstalować oprogramowanie. Nie często chwalę Cisco, ale rozwiązanie jakie zaproponowało jest … no kurcze super! Mamy możliwość zrobienia wszystkiego na odległość, posiadając tylko dostęp administracyjny do CLI routera poprzez Telnet / SSH. Zresztą przekonacie się sami.

Zanim przejdziemy do instalacji, powiem kilka słów czym różni się wersja ESXi dedykowanego do SM (Service Module) routera ISR G2 od klasycznej dystrybucji dostępnej na stronie VMware. Najważniejsze różnice, które wpływają na specyficzny sposób instalacji to:

  1. adres zarządzający ESXi jest konfigurowany z poziomu CLI routera, nie podczas instalacji wirtualizatora (dedykowany interfejs routera: interface SM <slot routera>/0)
  2. zarządzanie trybem pracy RAID również jest realizowane z poziomu CLI routera, stąd mamy bardzo prostą możliwość realizacji Hot-Swap w przypadku awarii dysku
  3. wirtualny przełącznik ESXi jest połączony z dedykowanym interfejsem routera (interface SM <slot routera>/1)

Opis będzie dotyczył routera Cisco 2921 wyposażonego w moduł SM-SRE-910-K9m który jest najwyższym modelem zapewniającym:

  1. 4 GB RAM (istnieje jeszcze wersja 8GB RAM)
  2. procesor Core2Duo 1.86 GHz (2 rdzenie)
  3. dwa dyski 2.5″ o pojemności 500GB
  4. wewnętrzny flash o pojemności 4GB na potrzeby wirtualizatora
  5. możliwość utworzenia RAID 0/1 (RAID wspiera Hot-Swap z poziomu CLI routera)

W pierwszej kolejności należy ściągnąć ze strony cisco.com archiwum zawierające instalator ESXi w wybranej wersji: sre-v-k9-r.SPA.smv.2.0.2.zip – zawiera ESXi w wersji 5.1 (ścieżka: Products / Cisco Interfaces and Modules / Cisco Services-Ready Engine (SRE) Modules / Cisco UCS Express for SR)

Rozpakowujemy archiwum na serwer FTP. Ja utworzyłem dedykowane konto sre, a .zip rozpakowałem do katalogu głównego tego konta FTP („/”).

1. Sprawdzamy w którym slocie jest umieszczony Moduł Serwisowy:
#show hardware
1 Services Module (SM) with Services Ready Engine (SRE)
Cisco SRE-V Software 2.0.1.0 in slot/sub-slot 1/0 <— u mnie jest slot 1

2. Konfigurujemy interfejs sieciowy hyperwisora ESXi:

#(config) interface sm slot/0 (u mnie: interface sm1/1)    #(config-if)ip address <adres IP routera do łączności z hypervisorem ESXi> <maska sieci>
LUB
#(config-if)ip unnumbered <istniejący interface L3 na routerze) <– wskazanie istniejącego adresu na routerze
(ja musiałem skorzystać z istniejącego subinterfejsu Gi0/0.10 (tag vlan też 10), więc musiałem zastosować IRB i utworzyć interface BVI1 z adresem 10.10.10.254/24 i z nim połączyłem SM:
#(config-if)ip unnumbered BVI1)
#(config-if)service-module ip address <adres IP hypervisora ESXi> <maska sieci> (u mnie: #(config-if)service-module ip address 10.10.10.1 255.255.255.0)

#(config-if)service-module ip default-gateway <brama domyslna dla hypervisora ESXi> (u mnie: #(config-if)service-module ip default-gateway 10.10.10.254 – czyli adres BVI1 – zdefiniowanego w drugiej linijce, jeżeli tam będzie zamiast interface routera adres IP, to jego należy wskazać. Może ktoś się pytać po co dwa razy podajemy te same informacje routerowi, ale wpisy „service module ip” są przekazane do instalki ESXi, stąd pomimo utworzenia adresu routera w „ip address” interface sm slot/0, który musi być bramą domyślną zarządzania ESXi, należy wyraźnie wpisać ponownie „service-module ip default-gateway”. Zresztą może ktoś w tej samej sieci będzie miał inny interface routera i będzie chciał jego wykorzystać jako DG. Cisco pozostawia pełną możliwość konfiguracji sieciowej hypervisora, tak jakbyśmy instalowali standardową instalkę vSphere)
    #(config-if)no shutdown

3. Skonfigurowaliśmy interfejs zarządzania ESXi, pozostaje konfiguracja interface przełącznika wirtualnego ESXi. Ja wykorzystuję tylko jedną sieć, więc będę miał access vlan 10 (bo tak taguję subinterface 0/0.10):
#(config)interface sm <slot>/1 (u mnie: #(config)interface sm1/1)
#(config-if)<konfiguracja jak w przłączniku> (u mnie: #(config-if)switchport mode access oraz #(config-if)switchport access vlan 10, ale równie dobrze może być tryb trunk + lista vlanów poprzez definicję „allowed vlan”, czyli np: switchoport mode trunk + ewentualnie switchport trunk allowed vlan <numery vlanów>)
#(config-if)no shutdown
    #(config-if)exit

4. Należy utworzyć VLAN (lub VLANy) określone w punkcie 3. oraz interfejsy. U mnie będzie IRB, więc interfejs VLAN 10 będzie bez adresu IP ale z  bridge-group 1, niemniej jednak formalnie powinniśmy utworzyć VLAN z adresem IP.

———————– WSTAWKA IRB, czyli Integrated Routing and Bridging ————————–
Wykorzystuję to aby połączyć subinterfejs routera np. Gi0/0.1 z interfejsem VLAN, czyli:
#(config)bridge irb <– uruchomienie IRB
#(config)interface Gi0/0.1
#(config-ig)no address ip
#(config-ig)brigde-group x <– numer grupy określa nazwę interfesju BVI x, gdzie x <1;255>
#(config)interface vlan 10
#(config-if)bridge-group x
#(config)interface BVI x
#(config-if)ip address <adres IP> <maska sieci>
#(config)bridge x protocol ieee <–uruchomienie mostkowania
#(config)bridge x route ip <– włączenie routingu IP dla interface BVI x
———————————————————————————————————————–

5. Jeżeli skonfigurowaliśmy część sieciową możemy przystąpić do najciekawszego, czyli instalacji hypervisora ESXi, Korzystamy z serwera FTP, na którym mamy rozpakowane archiwum pobrane ze strony Cisco. U mnie to konto sre z hasłem sre.
W tym momencie musimy podjąć decyzję, czy tworzymy z dwóch dysków macież RAID (0 lub 1), czy też będziemy wykorzystywali dyski osobno. Ja ze względu na większą niezawodność i możliwość gorącej wymiany uszkodzonego dysku (Hot-Swap) wybrałem tryb RAID1 (niestety tracimy pojemność, z dwóch 500GB mamy tylko 500GB, w przypadku RAID0 mamy jeden ciągły dysk 1TB, ale niestety 2 x większe prawdopodobieństwo usterki, która prowadzi do utraty danych. Największą zaletą RAID0 jest znacznie większa szybkość operacji dyskowych.)
#service-module sm <slot>/0 install url <adres pliku .pkg na FTP>  <– gdy mamy Service Module bez RAID, czyli np. SRE 700 / 701
LUB
#service-module sm <slot>/0 install url <adres pliku .pkg na FTP: ftp://<konto FTP>:<hasło FTP>@<adres IP serwera FTP>/<nazwa pliku .pkg> argument disk-cfg-mode={raid1 | raid0 | nonraid} <– wybieramy, czy ma być raid0/1 lub bez
U mnie komenda wygląda następująco:
#service-module sm 1/0 install url ftp://sre:[email protected]/sre-v-k9-r.SPA.smv.2.0.2.pkg argument disk-cfg-mode=raid1

Teraz sobie czekamy (może potrwać kilka dobrych minut w zależności od szybkości połączenia z routerem), ponieważ dzieje się jedna z fajniejszych rzeczy, czyli service-module będzie po kolei ściagał z FTP pliki, tworzył strukturę RAID aby na końcu automatycznie się zrestartować i uruchomić ESXi. Po wydaniu komendy wydaje się, że nic się nie dzieje, ponieważ dalej jesteśmy w CLI routera, ale całą robotę wykonuje samodzielnie moduł.

Zwróćcie uwagę, że cała instalacja ESXi wymaga tylko połączenia z routerem poprzez Telnet/SSH oraz posiadania serwera FTP. Dla mnie to rewelacja, przyjemniej się tego nie dało zrobić.

6. Sprawdzamy co robi moduł, czy ściąga, instaluje czy też się restartuje po instalacji:
#service-module sm <slot>/0 status
Po wszystkim będzie coś takiego:

Service Module is Cisco SM1/0
Service Module supports session via TTY line 67
Service Module is in Steady state
Service Module heartbeat-reset is disabled
Getting status from the Service Module, please wait..
Cisco SRE-V Software 2.0.1.0
VMware ESXi 5.1.0 build-1065491 running on SRE

Module resource information:
  CPU Frequency: 1862 MHz
  Memory Size: 4067 MB
  Disk 0 Size: 2055 MB
  Disk 1 Size: 500000 MB <– ESXi zobaczy pojedynczy dysk 500GB, a SRE routera robi raid, stąd z poziomu CLI routera mamy Hot-Swap

No install/uninstall in progress <– tutaj będą insformacje że moduł instaluje oprogramowanie

Localstore Info – (0 apps)
=====================

7. Po instalacji powinniśmy się móc połączyć klientem vSphere 5.1 na adres hypervisora określony w pkt. 2 (u mnie 10.10.10.1) w celu zarządzania lub poprzez przeglądarkę na adres http://10.10.10.1 gdzie będzie link poprzez który będzie można ściągnąć odpowiedniego klienta.
Domyślnie jest tworzone konto: root / BEZ HASŁA, więc należy go czym prędzej zmienić. Najlepiej otworzyć sesję terminalową na routerze:
#service-module <slot>/0 session <– to jest SUPER otwiera się nam znajomy ekran hyperwizora ESXi, jak na zdalnym ekranie !!! i to wszystko z lini poleceń routera !!! Oczywiście wcześniej musimy się ponownie uwierzytelnić na routerze, ale to wynika z tego, że tak naprawdę otwieramy nową linię VTY na potrzeby zdalnego ekranu zarządzania hypervisorem ESXi. Po zalogowaniu może się nic nie dziać, należy wcisnąć np. Enter:

SRE-ekran-ESXi

Wybieramy F2 i zmienamy hasło konta roota (logujemy się jako root / bez hasła)

SRE-ekran-ESXi2

Do CLI routera wracamy standardową komendą zmiany linii Ctr+Shift+6+x, a wracamy poprzez Enter.

8. To już koniec, reszta to konfigurowanie vSphere, co nie należy do tematu.

No i co sami powiedzcie, czy to co zrobiło Cisco nie jest zajefajne? No ja jestem teraz fanem takiego sposobu integrowania usług sieciowych oraz aplikacyjnych w jednym routerze.

Dodaj komentarz

Twój adres email nie zostanie opublikowany.