пятница, 15 июня 2018 г.

Запуск первого Azure Stack в России (First Azure Stack in Russia launch) - день 2-й и 3-й

Примечание: я использую условные обозначения вида "2-й день" или "3-й день", чтобы выделить некоторые реперные точки запуска. Между этими точками могут быть перерывы в 1 - 3 дня, в зависимости от возникающих событий, к примеру: длительность установки обновлений, возникающие инциденты и т.д.

Привет, всем. 

Итак, день 2-ой.

Опишу вкраце, т.к. никаких сверхъестественных вещей не происходило.
После установки стойки начался относительно долгий процесс обновления firmware, драйверов и прочего ПО серверов, HLH узла и т.д. Это заняло пару дней, т.к. в процессе установки обновлений возникла проблема с одним из узлов виртуализации.

Примечание: проблема решилась перезаливкой конфигурационного профиля сервера и перепрошивкой устройства.

Процесс нудный, но нужный - без него нам не видать стабильной работы S2D и других подсистем.

День 3-й.

Самый важный день - запуск непосредственно инсталляции Azure Stack. Мы решили обосноваться со Святославом (Delivery consultant, HPE) в московском офисе HP для упрощения коммуникации в рамках запуска.





Поскольку CDW (Excel файл, из которого формируется конфигурационный файл ответов для установки AzS) был заранее сформирован на фабрике, как и предполагает процесс развёртывания AzS, нам оставалось выполнить некоторые предварительные проверки, скачать необходимые обновления AzS и подложить сертификаты в соотвествующие папки для инсталляции.

Примечание: процесс установки Azure Stack включает в себя несколько активностей, которые происходят ещё до того, как сама стойка приедет к Вам на площадку. Примерно за 2 недели до начала работ по установке (в случае с HPE), delivery consultant приглашает Вас на встречу, где вы подтверждаете правильность информации, указанной в CDW, отвечаете на ключевые вопросы по предварительной подготовке площадки (к примеру: обеспечена ли связанность с Интернет, проверяются диапазоны IPv4 адресов (внутренних и внешних), BGP ASN и маршрутизация, названия регионов, свойства и наличие сертификатов и т.д.). 

Внимание: конфигурационный файл ответов CDW формируется на фабрике. Имейте в виду, что при некорректном его заполнении, консультанту необходимо будет выслать исправленный файл на завод для ре-генерации (это может повлечь за собой изменение и других настроек, к примеру: сетевых ACL через формирование новых конфигурационных файлов для активного оборудования). Иногда этот процесс может затянуться до 2-х недель (насколько я понял, это некий reply SLA). 

Примечание: хочу отметить, что изменение файла руками может привести к проблемам с установкой лекарство от которой - полный re-deployment. Также, учитывайте, что ToR коммутаторы и ПО AzS имеет много настроенных сетевых ACL и правил сетевых экранов (включая компоненты SDN) - изменение руками сетевых настроек задача крайне нетривиальная и требующая погружения в дебри. В случае Вашей ошибки,  вы можете снизить надёжность и безопасность решения, а также повысить возможность взлома извне.

Если коротко, то в процессе проверок к установке мы убедились, что:

  • все файлы ответов находятся на своих местах;
  • все аппаратные компоненты не содержат ошибок;
  • все системы обновлены до крайней стабильной версии;
  • файл-образ ОС Azure stack лежит в правильной папке;
  • сертификаты созданы правильно и проходят проверку с помощью специальной утилиты;
  • сертификаты размещены в соответствующих папках для каждого сервиса;
  • всё учётные данные, включая учётные записи Windows Azure корректны;


От себя дам несколько советов:

  • Внимательно прочтите инструкции к CDW "HPE ProLiant for MS Azure Stack CDW - Read First", "Azure Stack Deployment Companion Guide-customer", "HPE Azure Stack CDW and Planning Guide" - это сохранит Вам нервы и средства;
  • Перед AzS рекомендуется устанавливать Firewall для защиты элементов управления (порталов, точек публикации и т.д.) - это требует дополнительных денег; Нужно это потому, что все трафики идут в одной трубе; также, установка межсетевого экрана позволит избежать ситуации, когда в случае ошибки конфигурации, допущенной кем-либо (производитель, инженер поддержки вендора) - вы окажетесь с решением, торчащим дырой в интернет;
  • Предварительная проверка сертификатов проводится на любом ПК Windows 10/Windows Server 2016 вне Azure Stack - Вам необходимо заиметь такой ПК и настроить соответствующим образом (инструкции даст консультант);
  • Обязательно проверьте, что не вышло новых критических обновлений, когда вы подошли к моменту запуска скрипта установки - это может спасти от многих дальнейших проблем;
  • Некоторые обновления могут быть доступны только через внутренние  ресурсы производителя аппаратного обеспечения или Microsoft - скачайте их дополнительно и скопируйте их на хост HLH для последующей установки (к примеру: с помощью USB девайса; шаг выполняется инженером производителя аппаратного обеспечения);
  • Если Вы хотите упростить работы - скачайте все обновления на USB, установите USB накопитель в HLH хост до конца установки;
  • При установке обновлений прошивок серверов и драйверов лучше иметь в наличии Remote Hands при удалённой работе, либо обеспечьте себе место в ЦОД;
  • Возможность использовать для копирования RDP сессию может отсутствовать из-за технических ограничений безопасности, как вариант - используйте Device Mount в iLO для доставки съемных носителей на HLH;
  • документы по установке AzS неcтатичны - они могут очень быстро меняться, нужно всегда иметь актуальную версию (к примеру: к моменту выхода на установку Microsoft и HPE отменили использование DVM (deployment VM)) при запуске скрипта установки - теперь с HLH;
  • ДВАЖДЫ ПРОВЕРЬТЕ корректность наименования региона и другие параметры (если вы укажете некорректное имя региона - deployment надо начинать сначала полностью, насколько я понял, из-за того, что где-то на уровне ПО железа идёт хардкод, а также имя региона включается в сертификаты);
  • Утилита проверки сертификатов НЕ ПРОВЕРЯЕТ КОРРЕКТНОСТЬ НАИМЕНОВАНИЯ РЕГИОНА;

Перед запуском скрипта установки необходимо выполнить подготовку 




Ну и волнительный момент :)