Sie können vRealize Log Insight mit einem Einzelknoten, einem einzelnen Cluster oder mit einem Cluster mit Ereignisweiterleitungen bereitstellen.
Installation über vRealize Suite Lifecycle Manager
Der vRealize Suite Lifecycle Manager automatisiert die Installation, Konfiguration, Upgrades, Patches, Konfigurationsverwaltung, Abweichungsmaßnahmen und Integrität für Suites-Produkte. Als Alternative zur Installation mit vRealize Log Insight können Sie vRealize Log Insight über den vRealize Suite Lifecycle Manager installieren. Sie müssen vRealize Suite Lifecycle Manager 1.2 oder höher und vRealize Log Insight 4.5.1 oder höher verwenden. Weitere Informationen finden Sie unter vRealize Suite Lifecycle Manager-Dokumentation.
Einzelknoten
Zu einer grundlegenden vRealize Log Insight-Konfiguration gehört ein Einzelknoten. Protokollquellen können Anwendungen, Betriebssystemprotokolle, Protokolle virtueller Maschinen, Hosts, der vCenter Server, virtuelle oder physische Switches und Router, Speicherhardware usw. sein. Protokoll-Streams werden mit syslog (UDP, TCP, TCP+SSL) oder CFAPI (das native vRealize Log Insight- Ingestion-Protokoll über HTTP oder HTTPS) an den vRealize Log Insight-Knoten weitergeleitet, entweder direkt durch eine Anwendung, den syslog-Concentrator oder den auf der Quelle installierten vRealize Log Insight Agent.
Für Bereitstellungen mit einem Einzelknoten ist es eine Best Practice, den integrierten vRealize Log Insight-Lastausgleichsdienst (Integrated Load Balancer, ILB) zu verwenden und Abfragen sowie den Aufnahmedatenverkehr an diesen ILB zu senden. Dies verursacht keinen Aufwand und vereinfacht die Konfiguration, für den Fall, dass Sie Knoten hinzufügen und einen Cluster für Ihre Bereitstellung in der Zukunft erstellen möchten.
Verwenden Sie als Best Practice keine einzelnen Knoten für Produktionsumgebungen.
Cluster
Produktionsumgebungen erfordern in der Regel die Verwendung von Clustern. Cluster müssen folgende Anforderungen erfüllen:
- Knoten in Clustern müssen alle die gleiche Größe aufweisen und sich im selben Datencenter befinden.
- Für den mit Clustern verwendeten integrierten Lastausgleichsdienst ist es erforderlich, dass sich Knoten im selben L2-Netzwerk befinden.
- Virtuelle vRealize Log Insight-Maschinen müssen deshalb explizit von der Blockierung durch die verteilte NSX-Firewall von VMware ausgeschlossen werden.
Dies liegt daran, dass virtuelle IPs für Cluster einen Linux Virtual Server im Modus „Direct Server Return“ (LVS-DR) für den Lastausgleichsdienst verwenden. Direct Server Return ermöglicht eine effizientere Ausführung als das Routing des gesamten Antwortdatenverkehrs über ein einzelnes Clustermitglied. Allerdings besteht die Gefahr, dass es als manipulierter Datenverkehr fehlinterpretiert und von der verteilten Firewall von NSX blockiert wird.
Größenanpassung von Clustern
Eine vRealize Log Insight-Konfiguration mit einem einzelnen Cluster kann 3 bis 18 Knoten umfassen. Die Verfügbarkeit der Funktion hängt vom Quorum (Mindestanzahl der online/fehlerfreien Knoten) ab, wie in der folgenden Tabelle beschrieben.
Anzahl der Knoten | Quorum | Anzahl der Knoten, die ausfallen können |
---|---|---|
1 | 1 | 0 |
2 | 2 | 0 |
3 | 2 | 1 |
4 | 3 | 1 |
5 | 3 | 2 |
6 | 4 | 2 |
7–18* | 4 | 3 |
*Für Cluster mit 7 bis 18 Knoten beträgt das Quorum 4 und 3 Knoten können ausfallen.
- Die Tabelle zeigt das Quorum, das jetzt unterstützt wird. Die Spalte „Quorum“ zeigt die Mindestanzahl der Online- bzw. fehlerfreien Knoten an, die Cluster benötigen, um grundlegende Funktionen wie die Aufnahme von Protokollereignissen bereitzustellen.
- Ein Cluster gilt als fehlerhaft, und es wird keine Funktion garantiert, wenn das Quorum nicht erfüllt ist.
Weitere Informationen zur Dimensionierung finden Sie unter Dimensionierung der virtuellen vRealize Log Insight-Appliance.
Cluster mit Weiterleitungen
Zu einem vRealize Log Insight-Cluster mit einer Ereignisweiterleitungskonfiguration gehören die Hauptindizierung, die Speicherung und ein Abfrage-Cluster von drei bis 18 Knoten, die den integrierten Lastausgleichsdienst verwenden. Eine einzelne Protokollnachricht ist, wie für einen einzelnen Cluster auch, nur an einer Stelle innerhalb des Haupt-Clusters vorhanden.
Das Design wird durch das Hinzufügen von mehreren Ereignisweiterleitungs-Clustern zu Remote-Sites oder Clustern erweitert. Jeder Ereignisweiterleitungs-Cluster ist so konfiguriert, dass alle seine Protokollnachrichten an den Haupt-Cluster weitergeleitet werden. Benutzer stellen dann eine Verbindung zum Haupt-Cluster her und nutzen CFAPI zur Komprimierung und für die Widerstandsfähigkeit auf dem Weiterleitungspfad. Ereignisweiterleitungs-Cluster, die als „Top-of-Rack“ konfiguriert sind, können mit einer größeren lokalen Aufbewahrung konfiguriert werden.
Übergreifende Weiterleitung für eine Redundanz
Diese Bereitstellungsszenario für vRealize Log Insight umfasst einen Cluster mit einer Ereignisweiterleitung, der erweitert und gespiegelt ist. Zwei Hauptcluster werden für die Indizierung, die Speicherung und für Abfragen verwendet. In jedem Datencenter befindet sich ein Haupt-Cluster. Jeder Haupt-Cluster verfügt über zwei dedizierte Ereignisweiterleitungs-Cluster am Frontend. Alle Protokollquellen aus allen „top-of-rack“-Zusammenfassungen konzentrieren sich an den Ereignisweiterleitungs-Clustern. Sie können dieselben Protokolle unabhängig voneinander auf beiden Aufbewahrungs-Clustern abfragen.
Integrierter vRealize Log Insight-Lastenausgleichsdienst
Um den Datenverkehr gleichmäßig auf die Knoten in einem Cluster zu verteilen und um den Verwaltungsaufwand zu minimieren, verwenden Sie für alle Bereitstellungen den integrierten Lastausgleichsdienst (ILB). Dieser stellt sicher, dass der eingehende Aufnahmeverkehr akzeptiert wird, selbst wenn einige vRealize Log Insight-Knoten nicht verfügbar sein sollten.