VMware Event Broker Appliance: vSphere mit externen Systemen integrieren, Aktionen ereignisgesteuert ausführen

Die erste Vorab-Version 0.1.0 erschien bereits 2019, seit Ende 2020 steht nun Version 0.5 zur Verfügung. Sie erschließt im VMware-Umfeld ein ähnliches Potenzial wie AWS mit seinen Server-losen ereignis­getriebenen Funktionen (AWS Lambda) oder Microsoft mit seinen Azure Functions.

Einsatzgebiete für die VMware Event Broker Appliance

Die möglichen Anwendungs­gebiete der VMware Event Broker Appliance sind vielfältig. Für viele davon bringt sie vorgefertigte Funktionen mit, so dass Kunden schnell mit einer Lösung starten können.

So lassen sich zum Beispiel mit der Appliance einfach Benachrichtigungs-Workflows realisieren. Nutzer erhalten dann Mitteilungen und Echtzeit-Updates über Ihren bevorzugten Kommunikations­kanal wie SMS, Slack oder Microsoft Teams. Allgemein erlaubt diese Funktion das Überwachen des Zustands, der Verfügbarkeit und Kapazität von vSphere-Ressourcen.

Konfigurationen automatisch ändern

Natürlich lassen sich mit einem ereignis­getriebenen Dienst auch Aufgaben automatisieren. So können Admins beispielsweise Konfigurations­änderungen abhängig von VM- oder Host-Lebenszyklus­aktivitäten steuern, zum Beispiel Sicherheits­einstellungen auf eine VM anwenden oder vSphere-Tags auf den Host vergeben.

Auch geplante Jobs zur Überprüfung des Zustands einer Umgebung, etwa eines VM-Snapshots mit langer Laufzeit, gehören in diese Kategorie.

Tickets bei bestimmten Vorfällen generieren

Die Integrations­funktionen der Appliance erlauben zudem die Verwendung von Drittan­bieter­lösungen, welche Remote-APIs für die Zuordnung zu bestimmten Infrastruktur­ereignissen bereitstellen.

Als Beispiel sei hier eine automatisierte Ticket­erstellung für Workload- und Hardware-Fehler anhand von Pager Duty, ServiceNow, Jira Service Desk oder Salesforce-basierten Vorfällen zu nennen.

Aufgaben bei Auftreten bestimmter Events ausführen

Zu den vorgefertigten Funktionen gehört auch das Erkennen und Ausführen bestimmter Aufgaben auf Basis bestimmter Ereignistypen wie das Hinzufügen oder Anfordern zusätzlicher Kapazität. Dies ermöglicht es Operations- und SRE-Teams, vorhandene und bekannte Runbooks für die auto­matisierte Auflösung zu kodifizieren.

Eine weitere vorgefertigte Funktion der Event Broker Appliance erlaubt das einfache Verfolgen sämtlicher Konfigurations­änderungen für Objekte wie VMs und das automatische Aktualisieren der CMDB.

Benutzeranmeldungen verfolgen

Admins könnten mit der Funktion auch sämtliche Authentifizierungs- und Autorisierungs­ereignisse zur Einhaltung von Vorschriften oder zur Erkennung von Eindringlingen an ihr Sicherheits-Team weiterleiten lassen.

Auch das Wiederholen von Konfigurations­änderungen, die Fehler­behebung oder das Debuggen werden durch dieses Feature möglich.

Integration mit der Cloud

Mit der Appliance können Admins das eigene Rechenzentrum auch komfortabel in Richtung Public-Cloud erweitern, weil sie die Anbindung dazu prädestinierter Dienste wie AWS EventBridge recht einfach macht.

AWS Event Bridge ist beispielweise ein Server-loser Event Bus, der Anwendungsdaten aus eigenen Apps (zum Beispiel im vSphere-SDDC) mit SaaS und AWS-Services verbindet.

Anbindung von CMDBs

Die vorgefertigten Funktionen der Appliance erlauben darüber hinaus, die Anzahl der Verbindungen und Benutzer zum vCenter-Server zu reduzieren, indem man etwa externen System wie CMDB oder Data Warehouse den Zugriff auf Ereignisse gewährt.

Man kann mit der Funktion beispielsweise auch seinen Teams zu einem besseren Verständnis der Arbeitslast und des Infrastruktur­verhaltens verhelfen, indem man in den Ereignis­daten beobachtete Trends identifiziert. Dazu gehören etwa die Dauer von Ereignissen oder Benutzer, die bestimmte Vorgänge generieren sowie der häufig verwendete Workflows.

Die Architektur der VEBA

Die VMware Event Broker Appliance verfolgt einen modularen Ansatz und verwendet Kubernetes und Container als Abstraktions­schicht zwischen dem Betriebs­system (Photon OS) und den erforderlichen Anwendungs­diensten.

Derzeit besteht die Appliance aus folgenden Komponenten:

• VMware Event Router (Quellen verfügbar auf GitHub)
• Unterstützte Event Stream Quellen:
• VMware vCenter
• Unterstützte Event Stream Prozessoren:
• Knative
• OpenFaaS
• AWS EventBridge
• Contour
• Kubernetes
• Photon OS

Folgende Abbildung verdeutlicht die Zusammenhänge.

Photon OS als Betriebssystem

VMwares Linux-Betriebssystem Photon sollte vSphere-Anwendern bekannt sein, kommt es doch inzwischen bei verschiedenen VMware-Appliances als Fundament zu Einsatz, einschließlich der vCSA. Konkret handelt es sich bei Photon OS um einen Linux-Container-Host, der für Cloud-native Anwendungen, Cloud-Plattformen und VMware-Infrastruktur optimiert ist.

Photon OS bietet eine sichere Laufzeit­umgebung für Container und die integrierte Unterstützung von Kubernetes.

Kubernetes-Komponenten Contour und Knative

Contour ist ein Ingress-Controller für Kubernetes, der den Envoy-Proxy als Reverse-Proxy und Load Balancer nutzt. Es unterstützt von Haus aus dynamische Konfigurations­aktualisierungen, wobei ein leichtgewichtiges Profil beibehalten wird. In der VMware Event Broker Appliance kümmert sich Contour um die TLS-Terminierung für die verschiedenen bereitgestellten HTTP(S) -Endpunkte.

Knative ist eine Kubernetes-basierte Plattform zur Bereitstellung und Verwaltung moderner Workloads ohne Server. Es besteht aus zwei Kernbausteinen: Serving (Knative Service) und Eventing (Broker, Channel usw.).

Der VMware Event Router kann so konfiguriert werden, dass Ereignisse direkt an eine adressierbare Knative-Ressource ("Referenz") gesendet werden, zum Beispiel an einen Knative Broker oder Service. Broker ist das empfohlene Bereitstellungs­modell für den VMware Event Router.

Weitere Informationen zu Brokern, Triggern, Ereignisfilterung usw. finden sich in der Knative-Dokumentation. Alternativ kann der Router Ereignisse an einen URI senden, wie zum Beispiel einen externen HTTP-Endpunkt, der CloudEvents akzeptiert.

Kommunikation zwischen den Micro-Services

Auch wenn die VMware Event Broker Appliance als einzelne virtuelle Maschine instanziiert wird, weisen die oben beschriebenen Komponenten eine Micro-Services-Architektur auf, die auf Kubernetes läuft und in der die einzelnen Dienste über TCP/IP-Netzwerk-Sockets kommunizieren.

Der größte Teil der Kommunikation erfolgt dabei intern in der Appliance. Sollte eine Komponente nicht mehr verfügbar sein (Absturz, Überlastung), dann kann das die Kommunikation beeinträchtigen. Das hat dann Konsequenzen für die Ereignisübermittlung, also den jeweiligen Funktionsaufruf.

Um das Risiko des Blockierens von Remote-Anrufen zu vermeiden, die das gesamte System unbrauchbar machen könnte, werden sinnvolle Standard­zeitlimits angewendet, die man bei Bedarf anpassen kann.

Selbstheilungsfunktionen

Grundsätzlich ist Kubernetes die perfekte Plattform zum Aufbau hochverfügbarer verteilter Systeme. Obwohl die VEBA-Entwickler die Clustering-Funktionen für mehrere Knoten derzeit noch gar nicht nutzen, bietet Kubernetes Entwicklern und Benutzern viele Vorteile.

Die Selbstheilungs­funktionen überwachen kontinuierlich die kritischen Komponenten der VMware Event Broker Appliance sowie die vom Benutzer bereit­gestellten Funktionen und lösen bei Bedarf einen Neustart aus.

Kubernetes und seine Abhängigkeiten wie Docker werden übrigens als systemd-Einheiten bereitgestellt. Dies behebt das Problem "Wer überwacht den Beobachter?", falls die Laufzeit des Kubernetes-Knotenagenten (Kubelet) oder des Docker-Containers abstürzt.

Verfügbarkeit und Installation

Die VMware Event Broker Appliance wird als virtuelle Appliance bereitgestellt und lässt sich problemlos in jede vSphere-Infrastruktur importieren und dort betreiben, einschließlich VMware Cloud on AWS oder VMware Cloud on DellEMC.

Sie liegt als so genanntes Fling der VMware Labs vor und kann kostenlos von deren Website heruntergeladen werden. VMware gewährt dafür keinen Support.

Kunden mit einem vorhandenen Kubernetes-Cluster können den VMware Event Router mit nur einem einzigen Befehl von Helm (Kubernetes Paket-Manager) aus ausrollen. Ausführliche Anleitungen zur Verwendung des Helm-Installationsprogramms finden Sie in der Dokumentation.