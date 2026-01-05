透過本文的深入剖析與實作，將能夠理解最新發布的vSAN 9.0版本中有哪些亮眼的特色功能，而透過實作vSAN 9 DP快照保護機制，將可以有效幫助企業組織保護重要的VM虛擬主機和營運服務，在災難事件發生時快速回復還原先良好的運作狀態。

最新發布的vSAN 9超融合運作架構，隨著最新VMware Cloud Foundation（VCF） 9.0一起推出。在vSAN 9版本中，主要的Express Storage Architecture（ESA）運作架構有許多亮眼特色功能，其中針對ESA架構最佳化的「全域重複資料刪除」（Global Deduplication）機制，如圖1所示，無論是執行效率或節省的儲存空間，與過往Original Storage Architecture（OSA）有非常大的不同。

圖1 vSAN ESA超融合全域重複資料刪除示意圖。 （圖片來源：Global Deduplication in vSAN ESA for VMware Cloud Foundation 9.0）

認識vSAN 9 Global Protection運作架構

由於vSAN ESA全新超融合架構可以有效跨越過去vSAN OSA的技術限制，所以能夠提供更高效能和更多儲存空間節省的目標。

首先，最大的差異是「重複資料刪除網域」（Deduplication Domain），在舊有vSAN OSA架構中，重複資料刪除網域被限制在vSAN叢集內單台vSAN節點主機的「磁碟群組」（Disk Group）當中，這會降低重複資料刪除的有效性。舉例來說，當相同的資料區塊位於不同的磁碟群組時，就無法刪除重複資料，這也是阻礙vSAN OSA重複資料刪除率的主要原因之一。

新式的vSAN ESA運作架構，重複資料刪除網域則是以整個vSAN叢集為單位，因此在vSAN叢集中只要出現相同的資料區塊，便能夠執行重複資料刪除作業，同時採用4KB資料顆粒度更小的設計，更容易讓系統明顯提升出到重複資料區塊的數量，進而提升重複資料刪除的效率和節省的儲存空間。

此外，在重複資料刪除執行效能方面，兩者也有很大的不同，在舊有vSAN OSA架構中，會將資料暫存至容量層級（Capacity Tier）當中，才觸發執行重複資料刪除作業程序，雖然這樣的行為是發生在資料寫入確認，傳送給客體作業系統之後，但此舉會造成資料移動至容量層級的速度變慢，同時讓緩衝區更容易被填滿，當採用的儲存裝置反應速度又較慢時，便會發生vSAN壅塞的情況，導致VM虛擬主機延遲反應的情況。

新式的vSAN ESA運作架構中，重複資料刪除不會發生在熱資料寫入路徑當中，確保重複資料刪除程序不會浪費資源在最新寫入的資料中，這些資料通常會在不久之後便被刪除或覆寫，同時搭配智慧化處理的方式來執行這些工作任務，動態確認當CPU週期空閒時，才會執行重複資料刪除的工作任務，針對運作中的VM虛擬主機干擾程度降至最低，並且透過中繼資料（Metadata）對應機制，讓系統能有效識別並優先刪除冷資料，然後再刪除較熱的資料，確保重複資料刪除處理效率。

當vSAN ESA叢集啟用重複資料刪除功能時，叢集將會建立兩個主要特殊化物件，如下所示：

‧重複資料刪除中繼資料物件（Dedup Metadata Object）：此物件會為叢集中儲存的每個4KB資料區塊，維護一個Hash Entry用來協助識別相同資料區塊。

‧重複資料刪除資料物件（Dedup Data Object）：此物件會將儲存重複資料刪除的4KB資料區塊，以專用物件的方式儲存重複資料刪除的資料，避免特定VM虛擬主機發生I/O熱點的情況。

原則上，vSAN ESA架構中的重複資料刪除技術，為延後處理程序機制，當系統發現CPU週期處於閒置時，便會執行重複資料刪除的工作程序，並且依照下列順序進行處理，如圖2所示：

圖2 vSAN ESA運作架構重複資料刪除處理程序示意圖。 （圖片來源：Global Deduplication in vSAN ESA for VMware Cloud Foundation 9.0）

1. vSAN叢集讀取離散的4KB資料區塊，並產生要儲存在重複資料刪除中繼資料物件內，進行安全加密的雜湊內容。

2. vSAN叢集將會在重複資料刪除中繼資料內，尋找符合的Hash Entry，倘若探索到與重複資料刪除物件內的資料相符且一致時，便會使用中繼資料指標更新資料區塊並回收儲存空間。

3. 如果在重複資料刪除物件內並沒有找到符合的Hash Entry時，它會將目前資料和原始資料同時遷移到重複資料刪除物件中，使用中繼資料指標更新資料區塊並回收儲存空間。

4. 如果完全找不到符合的Hash Entry時，則會讓資料保持原樣，而Hash Entry將會在中繼資料物件內建立，並具有資料所在的反向指標，以便在後續識別重複Hash Entry時，可以如上所述刪除重複資料。

實戰vSAN Data Protection 保護VM

事實上，vSAN Data Protection（DP）資料保護機制是從vSAN 8.0 Update3版本開始首次導入的新特色功能，能夠有效幫忙企業和組織在地端資料中心內vSAN叢集中，為vSAN儲存資源建立「原生快照」（Native Snapshots），同時完整擷取VM虛擬主機的運作狀態。當受保護的VM虛擬主機發生故障損壞事件，或是遭遇勒索軟體攻擊時，便能透過vSAN DP資料保護機制，將受保護的VM虛擬主機快速還原，回到先前良好的運作狀態繼續運作，如圖3所示。

圖3 vSAN Data Protection（DP）資料保護機制運作架構示意圖。 （圖片來源：VMware vSAN - Getting Started and Advanced Topics）

部署vSAN Data Protection Appliance

在實作vSAN DP資料保護機制前，必須先登入官方網站中點選「vSAN > Drivers and Tools」項目，下載vSAN Data Protection Appliance的OVA部署檔案。舉例來說，本文實作下載為vSAN Data Protection 9.0.4版本，有關部署的詳細資訊，請參考官方KB-388526 | Deploy vSAN Snapshot Service appliance for vSAN Data Protection知識文件庫內容。

值得注意的是，過去在vSAN 8.0 Update3版本中，vSAN DP功能是由vSAN Snapmanager Appliance負責。而現在最新的vSAN 9版本中，官方將vSAN Data Protection、vSphere Replication和VMware Live Recovery等服務整合進單一Appliance當中，同時vSAN DP已經與VMware Live Recovery服務整合，這表示可以達成在兩地之間整合vSAN-to-vSAN層級的備援機制。

此外，在部署vSAN DP Appliance過程中，如果系統需要匯入vCenter Server Certificate時，必須預先下載vCenter Server Certificate，如果管理人員不知道如何下載vCenter Server Certificate的話，請參考VMware KB-330833知識庫文章了解詳細資訊。

當順利部署vSAN DP Appliance後，便會在vCenter管理介面中的「Configure > vSAN」項目內自動出現「Data Protection」項目，以便進行後續組態設定vSAN DP資料保護機制。

新增Protection Groups

在vSAN DP運作架構中，便是透過「Protection Groups」機制，將一台或多台VM虛擬主機加入至同一個Protection Groups當中，然後針對這些受保護的VM虛擬主機，定義排程快照並管理快照。

在vCenter管理介面中，依序點選「vSAN9-ESA-Cluster > Configure > vSAN > Data Protection」項目，在預設的Summary頁面中，可以看到vSAN DP的簡要資訊和vSAN快照使用空間情況，如圖4所示。

圖4 查看vSAN Data Protection簡要資訊和快照儲存空間使用率頁面。

值得注意的是，在系統提醒資訊中，說明當vSAN Datastore儲存資源使用量「超過70%」門檻值後，系統便會停止執行vSAN DP快照的自動化排程作業，避免vSAN DP快照影響vSAN儲存資源的正常運作。

依序點選「Protection Groups > Create Protection Group」項目，將會彈出新增Protection Group精靈對話視窗，在1. General步驟中，於Protection group name欄位內鍵入Protection Group名稱，本文實作為「EC Services PG」，在Protection type下拉選單中，選擇至本文實作環境「Local protection」，後續如果整合VMware Live Recovery服務時，便可以選擇其他選項，在Membership選項中，選擇適合運作環境的選項，本文選擇採用「Dynamic VM name patterns」，以便稍後加入VM虛擬主機時，在名稱方面可以使用「*」萬用字元，一次性快速地加入所有符合條件的受保護VM虛擬主機，如圖5所示。

圖5 鍵入Protection Group名稱和保護方式及選擇加入VM虛擬主機選項。

在2. Add VM name patterns步驟中，於VM name pattern欄位內鍵入準備加入此Protection Group的VM虛擬主機名稱「EC*」後按下〔Add〕鈕，系統便將匹配VM虛擬主機中名稱開頭為「EC」並符合規則字元的VM虛擬主機列出，系統總共找到3個符合的VM虛擬主機並顯示於下方，如圖6所示，除了支援使用「*」萬用字元外，也支援使用「?」，以便匹配一個符合的任意字元。

圖6 透過萬用字元一次加入多台VM虛擬主機至受保護群組中。

在3. Add local snapshot schedules步驟中，系統預設值為每天自動建立快照並保留1週，管理人員可以依照需求自行調整快照的排程時間，舉例來說，本文實作調整為「每隔8小時」建立1份快照，並且保留最近「3個月」的快照檔案，如圖7所示。當然，管理人員若需要多個快照排程時，只要點選下方的「ADD SCHEDULE」，即可新增另一個快照排程時間。

圖7 組態設定vSAN DP快照的排程時間和保留期間。

在4. Review步驟中，再次檢視Protection Group組態設定，若內容無誤即可按下〔Create〕鈕。值得注意的是，建立Protection Group後，系統並不會立即建立一份快照，而是依照剛才組態設定的排程時間才會進行快照，倘若希望立即保護相關VM虛擬主機，可以先執行手動快照。

新增完成後，在Protection Group頁面中，可以看到剛才新增的Protection Group資訊，下列為每個欄位的簡要說明，如圖8所示：

圖8 查看新增完成的Protection Group簡要資訊。

‧Protection group：顯示目前系統中已經新增完成的Protection Group，點選名稱後即可查看詳細資訊。

‧Immutability mode：顯示不可變模式狀態，目前為Disabled表示處於停用狀態。後續實作中，也將建立啟用不可變模式的Protection Group，管理人員便能理解啟用和停用不可變模式兩者之間的差異在哪裡。

‧Status：顯示此Protection Group的運作狀態，目前為Active的活動狀態，表示系統將會依據組態設定的排程時間，自動為受保護的VM虛擬主機執行建立vSAN DP快照作業。

‧VMs：顯示目前受到Protection Group快照機制保護的VM虛擬主機數量。

‧Peer cluster：整合VMware Live Recovery機制後，便會顯示複寫目的端的vSAN叢集名稱。

‧Snapshots：顯示快照份數，目前為0份，必須等到排程時間後，系統才會自動建立，或是管理人員手動建立快照即可。

‧Latest snapshot：顯示最新建立快照的時間點。

‧Oldest snapshot：顯示最初開始建立快照的時間點。

手動建立vSAN DP快照

事實上，當Protection Group新增完成後，系統將會根據排程時間自動建立快照，以本文實作環境來說，必須等待8小時後系統才會自動執行vSAN DP快照的動作，如果希望立即保護相關VM虛擬主機，可以在排程時間執行之前，手動執行建立vSAN DP快照的動作。

在Protection Groups頁面中，點選希望建立vSAN DP快照的Protection Group，點選左方三個點圖示，在顯示視窗中選擇「Take local snapshot」項目，系統將會彈出快照作業視窗。

在Take local snapshot視窗中，系統預設會自動產生快照名稱並加上日期和時間，當然也可以在Snapshot name欄位內變更成符合企業及組織命名規則的快照名稱。

在Retention選項部分，依據運作環境需求，選擇適合的選項，即可立即進行快照作業，按下〔Take Snapshot〕鈕，系統便會立即執行vSAN DP快照的工作任務，如圖9所示。

圖9 手動為指定的Protection Group建立vSAN DP快照。

順利建立vSAN DP快照後，回到Protection Groups頁面，便可以看到Snapshots欄位已經從剛才的「0 份」和警告圖示轉變為「1份」快照，並且由於是第1份快照，所以最新與最舊快照時間點為一致的，如圖10所示。

圖10 手動建立vSAN DP快照後，查看快照份數和快照建立時間資訊。

新增其他受保護的VM虛擬主機

由於在新增Protection Groups時採用動態VM虛擬主機名稱搭配萬用字元的加入方式，因此後續只要新增VM虛擬主機時開頭名稱為「EC」，便符合當初動態加入Protection Groups的規則，系統便會自動將其加入Protection Groups中進行保護，而無須管理人員再次將希望受保護的VM虛擬主機手動加入至Protection Groups當中。

在vCenter管理介面中，依序點選「vSAN9-ESA-Cluster > Actions > New Virtual Machine」項目，並根據系統需求及運作環境進行組態設定後，部署1台新的VM虛擬主機，本文實作環境VM虛擬主機名稱為「EC-App02」，如圖11所示。

圖11 部署1台VM虛擬主機名稱為EC-App02。

如何驗證EC-App02虛擬主機是否已經自動被vSAN DP機制所保護呢？只要切換回Protection Groups頁面，然後再次手動執行建立vSAN DP快照的動作，完成之後快照份數的Snapshots欄位便會從原本數值「1」轉變為「2」，並且受保護的VMs欄位也從原本的數值「3」轉變為「4」，表示剛才新部署名稱為EC-App02的VM虛擬主機已經自動加入Protection Groups當中，並受到vSAN DP快照機制的保護，如圖12所示。

圖12 新部署的EC-App02虛擬主機，自動加入Protection Groups並受到保護。

此外，點選「VMs > Existing VMs」項目，即可查看現有VM虛擬主機中哪些已經被Protection Groups所保護，哪些尚未被保護，每個檢視欄位都可以使用過濾排序功能，方便管理人員檢索及查詢，可以看到剛才新部署的EC-App02虛擬主機已經被系統自動加入至Customer Service App的Protection Groups當中，並且狀態為Protected受保護狀態，如圖13所示。

圖13 檢索及查詢現有VM虛擬主機是否被vSAN DP快照機制保護。

快速還原VM虛擬主機

當VM虛擬主機受到vSAN DP快照機制保護後，一旦受保護的VM虛擬主機發生故障損壞事件，甚至相關人員錯誤操作導致被刪除時，都可以透過先前建立的vSAN DP快照進行快速還原，回到快照時間良好的運作狀態。

舉例來說，手動將剛才新部署的EC-App02虛擬主機Power Off強制關機後直接刪除，並且在剛才的「VMs > Existing VMs」項目中已經沒有顯示EC-App02虛擬主機在受保護清單中。

接著，點選「VMs > Removed VMs」項目，即可看到剛才為EC-App02虛擬主機建立的vSAN DP快照資訊和份數，如圖14所示，此時點選「Restore VM」項目，系統將會彈出精靈對話視窗進入還原程序。

圖14 準備還原已經被刪除的EC-App02虛擬主機。

在Restore VM視窗的1. Select a snapshot步驟中，可以選擇該台VM虛擬主機的快照還原時間點，由於本文實作中的EC-App02虛擬主機只有1份快照，所以無法選擇其他快照還原時間點，如圖15所示。

圖15 選擇受保護VM虛擬主機的快照還原時間點。

在2. Select name and folder步驟中，選擇VM虛擬主機還原後所要存放的資料中心以及VM資料夾路徑。然後，在3. Select compute resource步驟中，選擇還原後的VM虛擬主機所要運作的叢集和vSAN節點主機為何。在4. Review步驟中，則再次檢視還原的組態設定內容，如果正確無誤，就按下〔Restore〕鈕，就可以立即執行還原作業。

快速複製VM虛擬主機

其實，在vSAN DP資料保護運作架構中，除了將快照用於快速保護和還原VM虛擬主機之外，還有另一個用途，對於企業和組織在故障排除、測試、研發上也非常方便實用，便是將原有ESA快照機制整合ESA Linked-Clone技術來達成快速複製的目的。舉例來說，當管理人員需要對營運服務VM虛擬主機進行相關的除錯測試和研發等動作時，為了避免影響到線上營運服務，便可以使用vSAN DP Clone VM快速複製機制達成。

值得注意的是，vSAN DP Clone VM的特色功能，與原有vCenter管理介面中傳統的Cloning VM動作不同，這些透過vSAN DP Clone VM快速複製機制所複製產生出來的VM虛擬主機，並不會受到vSAN DP快照機制的保護。

舉例來說，在本文實作環境中，選擇EC-Web01虛擬主機後，點選「VMs > Existing VMs > Clone VM」項目，在彈出的Clone VM視窗1. Select a snapshot步驟中，選擇該台VM虛擬主機的快照時間點，如圖16所示，接著在2. Select name and folder步驟中，選擇VM虛擬主機複製後存放的資料中心和資料夾路徑，以及新複製後的VM虛擬主機名稱，本文實作名稱為「EC-Web01-Clone」。然後，在3. Select compute resource步驟中，選擇VM虛擬主機屆時運作的叢集和vSAN節點主機，在4. Review步驟中，則再次檢視快速複製組態設定，若內容無誤再按下〔Clone〕鈕，即可立即執行快速複製作業。

圖16 透過vSAN DP Clone VM快速複製機制複製EC-Web01虛擬主機。

如同剛才注意事項所述，透過vSAN DP Clone VM快速複製機制所部署的VM虛擬主機，並不會被vSAN DP快照機制所保護，所以該台VM虛擬主機的狀態為「Not protected」，如圖17所示，即便管理人員修改Protection Group內容，調整加入VM虛擬主機的規則，從「Dynamic VM name patterns」更改為「Individual VM selection」，在指定選擇VM虛擬主機頁面中也無法找到快速複製的EC-Web01-Clone虛擬主機，並且也會看到系統將提醒不支援Linked-clone VMs的說明。

圖17 vSAN DP Clone VM快速複製部署的VM虛擬主機不受保護。

Protection Groups不可變更模式

在vSAN DP資料保護機制中，支援啟用特殊的「不可變更模式」（Immutable Mode）。簡單來說，一旦Protection Group啟用不可變更模式後，無論是原先定義的VM虛擬主機名稱規則，或是快照排程時間和保留期間，所有的組態設定一旦完成後便再也無法變更，甚至連Protection Group也無法被刪除，即便具備vCenter最大管理者權限也無法刪除。這個不可變更模式的主要目的，是防止惡意攻擊者即便取得系統的最大權限，也無法刪除被不可變更模式保護下，VM虛擬主機運作的重要營運服務。

舉例來說，管理人員在建立Protection Group時，例如本文實作為「IT CoreInfra Service PG」，然後勾選「Immutability mode」選項，屆時這個Protection Group便會自動啟用不可變更模式，同時在勾選不可變更模式時，系統也會顯示警告資訊提醒管理人員，一旦啟用不可變更模式後，屆時將無法變更及修改Protection Group組態設定內容，如圖18所示。

圖18 建立Protection Group並啟用不可變更模式。

Protection Group建立完成後，在Immutability mode欄位中，可以看到欄位狀態顯示為「Enabled」，表示這個Protection Group已經正式啟用不可變動模式，如圖19所示。

圖19 檢查Protection Group是否啟用不可變更模式。

啟用不可變更模式的Protection Groups，只剩手動執行vSAN DP快照作業，以及系統自動排程執行的快照任務，管理人員無法調整和編輯Protection Group組態設定內容，甚至無法刪除這個特殊的Protection Group，因此即便惡意人士取得vCenter管理者權限，仍然無法刪除這個被vSAN DP快照保護的Protection Group，以及受vSAN DP快照保護的VM虛擬主機，如圖20所示。

圖20 即便有vCenter最大管理權限，也無法變更和刪除不可變更模式的Protection Groups。

＜本文作者：王偉任，Microsoft MVP及VMware vExpert。早期主要研究Linux/FreeBSD各項整合應用，目前則專注於Microsoft及VMware虛擬化技術及混合雲運作架構，部落格weithenn.org。＞