Sie können vRealize Log Insight mit einem Einzelknoten, einem einzelnen Cluster oder mit einem Cluster mit Ereignisweiterleitungen bereitstellen.

Hinweis: Externe Lastausgleichsdienste werden für vRealize Log Insight-Cluster, inklusive vRealize Log Insight-Cluster, nicht unterstützt.

Installation über vRealize Suite Lifecycle Manager

Der vRealize Suite Lifecycle Manager automatisiert die Installation, Konfiguration, Upgrades, Patches, Konfigurationsverwaltung, Abweichungsmaßnahmen und Integrität für Suites-Produkte. Als Alternative zur Installation mit vRealize Log Insight können Sie vRealize Log Insight über den vRealize Suite Lifecycle Manager installieren. Sie müssen vRealize Suite Lifecycle Manager 1.2 oder höher und vRealize Log Insight 4.5.1 oder höher verwenden. Weitere Informationen finden Sie unter vRealize Suite Lifecycle Manager-Dokumentation.

Einzelknoten

Zu einer grundlegenden vRealize Log Insight-Konfiguration gehört ein Einzelknoten. Protokollquellen können Anwendungen, Betriebssystemprotokolle, Protokolle virtueller Maschinen, Hosts, der vCenter Server, virtuelle oder physische Switches und Router, Speicherhardware usw. sein. Protokoll-Streams werden mit syslog (UDP, TCP, TCP+SSL) oder CFAPI (das native vRealize Log Insight- Ingestion-Protokoll über HTTP oder HTTPS) an den vRealize Log Insight-Knoten weitergeleitet, entweder direkt durch eine Anwendung, den syslog-Concentrator oder den auf der Quelle installierten vRealize Log Insight Agent.

Für Bereitstellungen mit einem Einzelknoten ist es eine Best Practice, den integrierten vRealize Log Insight-Lastausgleichsdienst (Integrated Load Balancer, ILB) zu verwenden und Abfragen sowie den Aufnahmedatenverkehr an diesen ILB zu senden. Dies verursacht keinen Aufwand und vereinfacht die Konfiguration, für den Fall, dass Sie Knoten hinzufügen und einen Cluster für Ihre Bereitstellung in der Zukunft erstellen möchten.

Verwenden Sie als Best Practice keine einzelnen Knoten für Produktionsumgebungen.

Cluster

Produktionsumgebungen erfordern in der Regel die Verwendung von Clustern. Cluster müssen folgende Anforderungen erfüllen:

  • Knoten in Clustern müssen alle die gleiche Größe haben und sich im selben Datencenter befinden.
  • Für den mit Clustern verwendeten integrierten Lastausgleichsdienst ist es erforderlich, dass sich Knoten im selben L2-Netzwerk befinden.
  • Virtuelle vRealize Log Insight-Maschinen müssen deshalb explizit von der Blockierung durch die verteilte NSX-Firewall von VMware ausgeschlossen werden.

    Dies liegt daran, dass virtuelle IPs für Cluster einen Linux Virtual Server im Modus „Direct Server Return“ (LVS-DR) für den Lastausgleichsdienst verwenden. Direct Server Return ermöglicht eine effizientere Ausführung als das Routing des gesamten Antwortdatenverkehrs über ein einzelnes Clustermitglied. Allerdings besteht die Gefahr, dass es als manipulierter Datenverkehr fehlinterpretiert und von der verteilten Firewall von NSX blockiert wird.

Größenanpassung von Clustern

Eine einzelne vRealize Log Insight-Cluster-Konfiguration kann drei bis 18 Knoten umfassen und verwendet den integrierten Lastausgliechsdienst. Ein Cluster benötigt mindestens drei fehlerfreie Knoten, um ordnungsgemäß zu funktionieren.

Produktionsumgebungen erfordern, dass die Knoten mindestens eine mittlere Größe aufweisen. Wenn Sie vorhaben, mit einer hohen Anzahl von gleichzeitigen Abfragen einschließlich Warnungen zu arbeiten, erwägen Sie die Verwendung großer Knoten. Weitere Informationen zur Dimensionierung finden Sie unter Dimensionierung der virtuellen vRealize Log Insight-Appliance.

Obwohl die minimale Anzahl der Knoten in einem vRealize Log Insight-Cluster drei beträgt, ist ein Cluster mit weniger als drei fehlerfreien Knoten nicht voll funktionsfähig. Außerdem muss die Anzahl der fehlerfreien Knoten im Cluster größer als die Hälfte der Gesamtzahl der Clusterknoten sein. Wenn Sie beispielsweise einen Cluster mit sechs Knoten haben und drei der Knoten nicht mehr verfügbar sind, ist der Cluster nicht mehr voll funktionsfähig, es sei denn, Sie entfernen die nicht funktionsfähigen Knoten aus dem Cluster. Das Entfernen und Wiedereinführen eines Clusterknotens wird nicht unterstützt.

Cluster mit Weiterleitungen

Zu einem vRealize Log Insight-Cluster mit einer Ereignisweiterleitungskonfiguration gehören die Hauptindizierung, die Speicherung und ein Abfrage-Cluster von drei bis 18 Knoten, die den integrierten Lastausgleichsdienst verwenden. Eine einzelne Protokollnachricht ist, wie für einen einzelnen Cluster auch, nur an einer Stelle innerhalb des Haupt-Clusters vorhanden.

Das Design wird durch das Hinzufügen von mehreren Ereignisweiterleitungs-Clustern zu Remote-Sites oder Clustern erweitert. Jeder Ereignisweiterleitungs-Cluster ist so konfiguriert, dass alle seine Protokollnachrichten an den Haupt-Cluster weitergeleitet werden. Benutzer stellen dann eine Verbindung zum Haupt-Cluster her und nutzen CFAPI zur Komprimierung und für die Widerstandsfähigkeit auf dem Weiterleitungspfad. Ereignisweiterleitungs-Cluster, die als „Top-of-Rack“ konfiguriert sind, können mit einer größeren lokalen Aufbewahrung konfiguriert werden.

Übergreifende Weiterleitung für eine Redundanz

Diese Bereitstellungsszenario für vRealize Log Insight umfasst einen Cluster mit einer Ereignisweiterleitung, der erweitert und gespiegelt ist. Zwei Hauptcluster werden für die Indizierung, die Speicherung und für Abfragen verwendet. In jedem Datencenter befindet sich ein Haupt-Cluster. Jeder Haupt-Cluster verfügt über zwei dedizierte Ereignisweiterleitungs-Cluster am Frontend. Alle Protokollquellen aus allen „top-of-rack“-Zusammenfassungen konzentrieren sich an den Ereignisweiterleitungs-Clustern. Sie können dieselben Protokolle unabhängig voneinander auf beiden Aufbewahrungs-Clustern abfragen.

Integrierter vRealize Log Insight-Lastenausgleichsdienst

Um den Datenverkehr gleichmäßig auf die Knoten in einem Cluster zu verteilen und um den Verwaltungsaufwand zu minimieren, verwenden Sie für alle Bereitstellungen den integrierten Lastausgleichsdienst (ILB). Dieser stellt sicher, dass der eingehende Aufnahmeverkehr akzeptiert wird, selbst wenn einige vRealize Log Insight-Knoten nicht verfügbar sein sollten.