Home > Blogs > Japan Cloud Infrastructure Blog

VMware NSX for vSphereへの移行

2回目:Deep Securityを実装するためのNSX

-Back Number-
#1_ vCloud Networking and Security (vCNS) の販売終了
#2_Deep Securityを実装するためのNSX
#3_ VMware NSX for vShield Endpointへの移行検証サマリー

こんにちは、ソフトバンク コマース&サービスの中川明美です。
前回、vCloud Networking and Security (vCNS)の販売が終了したことをお知らせしました。早急にVMware NSX for vSphereへの移行を検討しなければいけませんね。
今回は、トレンドマイクロ社のDeep Securityにフォーカスし、Deep Securityを実装するためのNSXエディションについてご紹介します。

NSXの各エディションとDeep Securityが提供する6機能の使用可否を整理します。
matrix

上の表から、主な使用目的は次の2つに分けられると思います。

①不正プログラム対策(ウイルス対策)
②侵入防御、ホスト型ホストファイアウォール

目的に合わせて、どのNSXエディションを選択するべきかを順に確認します。

①ウイルス対策のみの場合 (赤枠)ウイルス対策のみを使用したい場合は、無償ライセンスのNSX for vShield Endpointを含めた 4つのVMware NSXを選択することが可能です。

anti-virus

②侵入防御やファイアウォールの場合 (緑枠)侵入防御やファイアウォールを使用したい場合は、「AdvancedまたはEnterprise」を選択するか、「NSX for vShield EndpointまたはStandard」を選択するかの2パターンがあります。それぞれ準備するコンポーネントが異なります。

◆Advance / Enterprise◆
NSXのAdvancedまたはEnterpriseを選択する場合、Deep Security Virtual Appliance(DSVA)のみで、侵入防御やファイアウォールの機能を使用することができます。
adv-ent

◆NSX for vShield Endpoint / Standard◆
NSX for vShield EndpointまたはStandardを選択する場合、Deep Security Virtual Appliance(DSVA)で提供される機能はウイルス対策のみです。そのため、各仮想マシンにDeep Security Agent (DSA)をインストールし、侵入防御やファイアウォールを使用します。この方法がコンバインモードです。
combined-mode
コンバインモードの詳細はこちらをご確認ください。
http://esupport.trendmicro.com/solution/ja-JP/1112549.aspx?print=true

◆まとめ◆
侵入防御やファイアウォールを使用したい場合、どのNSXエディションを選択するかがポイントですね。Advanced / Enterpriseを選択するなら、導入が容易に思えます。一方でライセンスコストとの費用対効果を考えることも必要です。Advanced / Enterpriseで提供される機能が自社の運用管理の効率の向上が見込めるのであれば、この機会に検討されるのもよいですね。

無償の「NSX for vShield Endpoint」を選択するなら、DSAのライセンスを見積る必要があります。

現在、私個人が注目しているのは、運用面からの「ネットワークの仮想化」という選択です。

ここ数年、vRealize Operations Managerを介して、ユーザーの仮想基盤の運用管理のお悩みをうかがう機会が増えました。最近は、ストレージの運用の容易さから、Hyper-Converged Infrastructure (HCI)が台頭してきていますね。次はネットワークの仮想化の出番なのではないかと感じています。

今後のVMware Blogでは、運用面から見た「ネットワークの仮想化」の記事を投稿できたらと考えています。

次回は、VMware NSX for vShield Endpointへの移行検証サマリーを投稿します。

nakagawa

VMware NSX for vSphereへの移行

1回目:vCloud Networking and Security (vCNS)の販売終了

-Back Number-
#1_ vCloud Networking and Security (vCNS) の販売終了
#2_Deep Securityを実装するためのNSX
#3_ VMware NSX for vShield Endpointへの移行検証サマリー

こんにちは、ソフトバンク コマース&サービスの中川明美です。
vCloud Networking and Security (vCNS)の販売が終了されていることをご存知ですか?
すでに一般サポートも2016 年 9 月 19 日に終了を迎えています。テクニカルガイダンスは2017年3月まで提供されます。
セキュリティベンダーが提供する仮想アプライアンスを使用して仮想基盤を保護されているユーザー様、または提案を予定しているパートナー様は、ご注意ください。
vCNSの販売および一般サポートの終了にともない、こちらのBlogでは3回にわたり、VMware NSX for vSphereへ移行のための情報を共有いたします。連携する仮想アプライアンスは、トレンドマイクロ社のDeep Securityを対象とします。

現在vCNS(旧vShield Manager) をご使用のユーザー様は、vShield Endpointを管理するために、今後はNSX Managerを使用することになります。
また、vShield  Managerを含むvShield Endpoint関連のコンポーネントは、すでにVMware社サイトからのダウンロードを終了しています。そのため、新規構築の際も、NSX for vSphereを使用することになります。
いずれも、NSX for vSphere 6.2.4 以降をダウンロードし、環境を構築する必要があります。
トレンドマイクロ社は、vCNS 5.5.x環境下のDeep Securityに関するサポートを継続します。ただしベストエフォート対応のサポートとなります。

終了については、次のKBをご確認ください。
<KB: 2145636 >
VMware vCloud Networking and Security 5.5.x の販売終了および一般サポートの終了

https://kb.vmware.com/kb/2145636

◆VMware NSX for vSphere 6.xのライセンスエディション◆

NSX for vSphereは、次の4つのエディションが提供されています。

  • NSX for vShield Endpoint
  • NSX Standard
  • NSX Advance
  • NSX Enterprise

「NSX for vShield Endpoint」は、VMware NSXバージョン6.2.4から追加された新しいライセンスです。

4つのエディションは、同じNSXモジュールを使用します。ライセンスキーを入力せずにインストールするとNSX for vShield Endpointとして機能します。残りの3つのエディションは各ライセンスをご購入されると利用できます。

◆vShield EndpointとNSXの構成の違い◆
vShield EndpointからNSXへ移行すると、どのようなコンポーネントが必要となるでしょうか。提案する際に何が必要かを知っておくことは大事なポイントとなりますね!

vshield-to-nsx

 

<変更のポイント>

  1. 管理マネージャーが、「vShield Manager」から「NSX Manager」に変わります。NSX Managerは、vShield Managerと同様に1システムに1つ準備します。
  2. 新たに、仮想アプライアンス「Guest Introspection」を、各ESXiホストに配置します。Guest Introspection がvShield Endpoint の全機能を提供します。

変更・追加対象の、「vShield Manager」と「Guest Introspection」は、「NSX for vShield Endpoint」を含む「VMware NSX for vSphere」すべてのエディションで提供されます。

◆各NSXエディションとDeep Securityの機能◆
ウイルス対策のみの場合は、NSX for vShield Endpoint (無償)で使用可能です。

matrix

◆まとめ◆

vCNSの販売の終了にともない、仮想基盤のセキュリティ強化に努めるユーザーや提案するパートナーに影響をもたらしていると思います。
仮想基盤の管理者にとっては悩ましいことですね。一般サポートも終了していますから、今後のことを考慮し、ぜひNSX for vSphereへのアップグレード準備を開始いただけたらと思います。
こちらのBlogの3回目では、無償版の「NSX for vShield Endpointへの移行」のサマリーをお伝えします。移行の詳細手順書を12月以降に提供する予定です。こちらは「VMware Japan」Facebookでお知らせします。
その前に新規インストール用の簡易手順書を共有します。こちらへアクセスください。

http://campaign.vmware.com/imgs/apac/jp_dwn/PDF/NSX-NV-05-NSX_for_vShield_EndPoint_20161021a.pdf?elqTrackId=9bc23ac857cc422897d92420f93dc17b&elqaid=979&elqat=2

 

nakagawa

VMware vRealize Operations Manager (vROps) をパワーアップしよう! パート2

2回目:ビューの活用方法 ①

– Back Number –
#1…最新のV4Hが使いやすくなっている!
#2…ビューの活用方法①
#3…ビューの活用方法②
#4…レポートの活用方法
#5…vRealize Log Insightとの連携

こんにちは、ソフトバンク コマース&サービスの中川明美です。
突然ですが、「ビューを制する者は、vROpsを制する」と私は思っています(笑)
vROpsは、「健全性」「リスク」「効率」スコアの色から、容易に状況を把握できるのがメリットの1つです。とは言うものの、詳細なデータを使用して分析したい場合は、ぜひ「ビュー」を活用してみてください。
今回のビュー①ではビューのノウハウを、次回のビュー②ではカスタムビューの活用方法をご紹介します

◆ビューの管理画面◆
ナビゲーションパネルの「コンテンツ」ボタンをクリックします。メニューから「ビュー」をクリックし、ビューの管理画面を表示します。この画面で、カスタムビューの作成/編集/削除を行います。
下図は、「CPU(赤点線枠)」で検索し、CPUに関連する標準のビューを表示しています。
タスクが終われば、フィルタに赤い×が付いているボタン(青点線枠)をクリックし、検索を解除してください。フィルタが反映された状態では、すべてのビューが表示されず、慌てることになります(笑)。お気をつけください。

View

◆任意のオブジェクトのビュー◆
次に、任意のオブジェクトのビューを表示します。ここでは対象をクラスタとします。
「環境」ボタン→「イベントツリー」→「vSphere ホストおよびクラスタ」→「vCenter 」→「クラスタ」とドリルダウンします。該当のクラスタを選択後、「詳細」タブ→「ビュー」をクリックし、クラスタに関連するビューを表示します。

<
リスト形式のビュー>
下図の「ホストのCPU診断リスト」は、私が仮想化健康診断で報告書を作成する際に、よく使用しているリスト形式のビューです。「タイプ」に「リスト」と明示しています。

View2

このビューでは、パフォーマンスとキャパシティに関するメトリックである、「競合(%)」「デマンド(GHz)」「使用量(GHz)」などの数値を並べて確認することができます。
上図は、使用量よりデマンドが多く、さらに競合率も15%を超えています。この値から、リソースの競合により、パフォーマンス劣化が生じていることがわかります。
このBlogの環境はクラスタに1台のESXiホストですが、複数のESXiホストを追加している場合は、各ESXiホストの状態を比較することもできます。
1回目のBlogで「空きリソースがあるESXiホストに仮想マシンを移行する」と対応方法を紹介しました。空きリソースがあるESXiホストを確認する場合に、この診断リストを使用すると調査が簡単です。

<グラフ形式のビュー>
グラフ形式のビューは、時系列で状況を確認することができます。
下図は、「クラスタのCPUデマンド予測トレンド」ビューを選択しています。過去から現在のデマンドと、未来(30日間)の予測デマンドを表示します。
中央の▲(赤点線枠)をドラッグすると、グラフを拡大表示することができます。

View3

◆ちょっとした表示のコツ◆
グラフ形式の表示に関する”コツ”をご紹介します。

<表示/非表示>
「クラスタのCPUデマンド予測トレンド」ビューは、7つの凡例(項目名)があります。
下図は、項目名の「クラスタのCPUデマンド予測トレンド – 構成済みキャパシティ」を選択しています。項目名をクリックすると、名前とグラフが強調表示されます。
さらにもう1回クリックすると、「非表示」になります。非表示の状態でクリックすると、再表示されます。

Trend

下図は、「構成済みキャパシティ」「使用可能なキャパシティ」「Rawデマンド」を非表示にし、「ストレスなしのデマンド」のみを表示しています。必要なデータだけを表示できますから、分析しやすいですね。このグラフから、7月はデマンドの値が増加していますが、8月から減少し、今後30日間はさらに低くなる傾向を読み取れます。

Trend2

<詳細表示>
下図は、任意の仮想マシンの「仮想マシンのCPU診断」ビューです。「ホストのCPU診断リスト」と同様の項目を、時系列で表示することができます。
ある時点をポイントすると、凡例(項目名)の具体的な数値を確認することができます。

CPU_Analytics

次に、ポイントしたままドラッグすると、表示の時間間隔を短くすることができます。
下図は、上図でドラッグした範囲が10分刻みで表示されています。元に戻したい場合は、右上の「ズームのリセット(赤点線枠)」をクリックします。
このグラフから、20分おきに、「デマンド」「使用量」「準備完了」の値が上昇していることがわかります。仮想マシンはCPUを要求しているけれども、リソース不足のため、同時にCPUの待ちが発生していると判断できます。この期間はパフォーマンス劣化が生じていますね。
たとえば、この仮想マシンを使用しているユーザーからクレームがあれば、診断ビューの日時と照らし合わせ、原因を調査することができます。

CPU_Analytics2

◆ビューの日付範囲◆
多くのビューは、過去7日間の範囲で表示されます。カレンダーのアイコン(赤枠)をクリックすると、表示データの日付範囲を変更することができます。
相対的な日付範囲は、「分」「時」「日」「週」「月」「年」の間隔で指定できます。また、開始と終了を指定して期間設定することもできます。

View4

◆CSVとしてエクスポート◆
「ビューのデータを保存すること、または印刷することはできますか」と質問を受けることが多々あります。印刷は、そのビューを元に作成された「レポート」機能を使うのが簡単です。ビューには、「CSVとしてエクスポート」という機能があります。この機能を使用すれば、エクスポートしたデータの保存、好みのレイアウトの印刷を行うことができます。

Export

下図は、エクスポートしたデータをメモ帳で開いたものです。

csv

1つ注意点があります。vROpsのCSVファイルは、UTF-8形式で保存されます。Excelを利用する場合は、「データ」メニューから「テキストファイル」を選択し、UTF-8形式でインポートしてください。下図のような文字化けを回避できます。

csv2

◆まとめ◆
今回は”ちょっとしたコツ”を含めた、ビューの活用方法をご紹介しました。
過去データから、トラブルの原因などを調査する際に威力を発揮します。データの表示間隔や日付も指定でき、データを柔軟に表示できるのは便利ですね。
ビューは、このBlogで紹介した「ビュー画面」で使用する場面もありますし、ダッシュボードやレポートの元データとして使用する場面もあります。後者はカスタムビューで対応することが多くなります。
次回は、そのカスタムビューの作成方法と活用方法をご紹介します。お楽しみに!

nakagawa

ソフトバンクC&SのサイトでvROpsを使用した仮想化健康診断の事例を紹介しています。ここでは、「vSphere環境を運用管理している方が何に困っているのか」「その困ったことにパートナーのみなさまがどのようにアプローチされているのか」を載せています。
インタビュー形式で構成しています。ぜひお仕事に役立つ情報を手に入れてください!

voa

第3回 VMware Virtual SAN(VSAN)搭載アプライアンスVxRailとは? ~ VxRail の運用と管理:前編 VxRail Managerのご紹介 ~

こんにちは、ネットワールドの石塚智規です。前回のハイパーコンバージドインフラのアプライアンス「VxRail」のセットアップの続きで、今回は管理の方法についてご紹介したいと思います。

ishitsuka_mini

VxRail Managerによるシンプル管理

VxRailはvSphere環境を簡単に管理する手段として専用のGUI = VxRail Managerを搭載しています。このGUIにより、vSphereのリソース状況やハードウェアのステータス状況などを一括して管理することができます。

01

VxRail Manager の管理画面は以下の様な特徴があり、使いやすいと好評頂いています。

  • マウスクリックや画面スクロールなどの操作感が非常に軽快
  • ログインした時点でアプライアンスの状態(正常, 警告, エラーなど)が把握できる
  • 1クリックでリソース(CPU, メモリの利用率やディスクIO)の状況が把握できる
  • リソース状況画面と同じ画面上にハードウェアステータスを把握できる(壊れているパーツがあれば赤く警告される)
  • 故障個所がアプライアンスのどの位置で発生しているのかグラフィカルに表示される
  • 追加ノードを自動的に検出, ウィザードを利用して簡単(5分)で追加できる
  • ボタン1つでアプライアンス全体の電源断ができる

 

では、実際の管理の方法について具体的にご説明したいと思います。

 

 

管理GUI=VxRail Managerへのログイン

アプライアンスの管理GUIであるVxRail Managerへログインしてみます。ブラウザを起動して、URLにセットアップのときに指定したVxRail ManagerのIPアドレスもしくはホスト名を指定します。

02

ログインアカウントはvCenterと同じユーザ名/パスワードでログインします。VxRailアプライアンス内にvCenter/PSCを配置している場合はadministrator@vsphere.localユーザを利用して下さい。

 

ログインに成功すると以下のようなダッシュボードが表示されます。

03

VxRail Managerは左側にメニューがあり、「ダッシュボード」「サポート」「イベント」「稼働状態」「構成」の5つが利用できます。いくつかの機能はインターネット接続が必要になります。

 

ダッシュボード メニュー

ダッシュボードでは以下の4つの情報が得られます。

 

  • システム全体の稼働状態
    アプライアンス全体のステータスが表示されます。ステータスは「正常」「エラー」「警告」「重大」の4段階で表示されます。「エラー」は状態変化が発生した、もしくはしていることを示し、「警告」だとそのままの状態だと安定稼働に支障が出るため何がしかのアクションが必要な状態(例えばディスクスペースの不足など)、そして「重大」はダウンタイムに繋がる即時対応が必要な状態(ディスクの破損など)を示しています。

 

  • VxRailコミュニティ
    EMCサポートコミュニティサイトのVxRailセクションの最新情報がリストアップされます。最近話題になっているスレッドが表示されるので、安定運用のための情報が得られます。

 

  • サポート
    サポート情報としては「最新のハートビート」「サポートとチャットする」「サービスリクエストを作成する」の3つが利用できます。「最新のハートビート」ではEMCのSecure Remote Services(ESRS)実装済みの場合に最後にESRSと通信した時刻が表示されます。「サポートとチャットする」はそのままですがEMCサポート窓口に対してチャットで質問(例えば電源断の方法など)するためのチャットセッションが開始されます。「サービスリクエストを作成する」では事象を伴うトラブル(ディスク故障など)を問い合わせることができます。

 

  • イベント履歴
    イベント履歴もそのままですが、最近発生したイベントが表示されます。

 

 

サポート メニュー

04

サポートでは以下の7つの情報が得られます。

 

  • 最新のハートビート
  • サポートとチャットする
  • サービスリクエストを作成する
  • 送信した最新の構成情報を確認
    上記4つはダッシュボードと同じことが可能です。

 

  • ダウンロード
    EMCサポートのダウンロードサイトへのリンクです。

 

  • VxRailコミュニティ
    こちらもダッシュボードと同じことが可能です。

 

  • ナレッジベース
    EMCのナレッジベースを検索することが出来ます。

 

 

イベント メニュー

05

イベントでは以下の2つの情報が得られます。エラー以上のイベントを検知した場合、イベントメニューのアイコン上に発生したイベント数が赤く表示されます。

 

  • システムイベント
    発生した全てのイベントがリストアップされます。イベントIDや重大度、対象コンポ―ネットを指定してリストアップすることも可能です。

 

 

  • イベントの詳細
    システムイベントのリスト上で任意の情報を選択すると、その詳細が表示されます。

 

 

稼働状態 メニュー

稼働状態には「論理」と「物理」の2つのタブがあります。それぞれ以下の情報が得られます。論理タブではリソースステータス(ストレージ, CPU, メモリの各リソースの負荷状況)を正常(緑)、注意(黄色, 75%~85%)、警告(赤, 85%以上)で色分けして状態を表示してくれます。

 

<論理タブ>

06

管理しているアプライアンスのそれぞれのハードウェアIDが表示されます。標準状態では全てのアプライアンス全体の状態が表示されます。ハードウェアIDをクリックすると、それぞれのアプライアンスの状態が表示されます。

  • ストレージIOPS
    現在の負荷状況をパーセンテージで表示します。また、現時点のIOPS、最大のIOPSも表示されます。

 

  • CPU使用率
    現在の負荷状況をパーセンテージで表示します。また、アプライアンス全体で保有しているCPUリソース(クロック数, GHz)と、現時点での空きリソースも表示されます。

 

  • メモリ使用量
    現在の負荷状況をパーセンテージで表示します。また、アプライアンス全体で保有しているメモリリソース(GB)と、現時点での空きリソースも表示されます。
  • ストレージ情報
    Virtual SANとして構成されているストレージ容量が表示されます。全体容量が「容量」として表示されています。この容量は冗長性が考慮されていない所謂Raw容量です。各ゲストOSに割り当てられたストレージポリシーに従い消費します。
  • ESXiノード
    アプライアンスに搭載されいてるノードのハードウェアステータスが表示されます。容量ディスク(ハイブリッドの場合はHDD, オールフラッシュの場合はSSD)、キャッシュ用SSD、ESXiシステムブートディスク(SATADOM)、NICの各コンポーネントの状態が確認できます。各コンポーネントをクリックするとUUIDなどが表示されます。

 

 

<物理タブ>

07

管理しているアプライアンスのそれぞれのハードウェアIDが表示されます。標準状態では全てのアプライアンスの物理的な状態が一覧で表示されます。ハードウェアIDをクリックすると、それぞれのアプライアンスの前面図、背面図が表示されます。エラーなどのイベントが発生しているコンポーネントがある場合は、該当コンポーネントにステータスアイコンが表示されます。また、コンポーネントをクリックするとそれぞれのコンポーネントが持っている詳細情報が表示され、交換作業のためのウィザードが表示されます。また、ノードコンポーネントをクリックすると、物理的な位置を示すLED(UID LED)を点灯/消灯させることができます。

 

 

構成 メニュー

構成には「機能」と「市場」、「全般」の3つのタブがあります。それぞれ以下の情報が得られます。

 

<機能>

08

アプライアンスに既に実装済みの管理コンポ―ネント(バーチャルアプライアンス)が表示されます。標準状態ではVxRail Managerだけが表示されます。リモート保守用のESRSを追加すると追加で表示されます。

 

 

<市場>

09

EMCが提供しているバーチャルアプライアンスをダウンロードするためのリンクの一覧です。2016年9月1日時点ではCloud Array(VxRailアプライアンスには1TBキャッシュのライセンスがバンドルされています)と、Data Domain(0.5TBまでのコミュニティサポートエディション, 別途ライセンス購入可能です)、RecoverPoint for Virtual Machines(VxRailアプライアンスには15個のゲストOSの保護ライセンスがバンドルされています)、vSphere Data Protectionのダウンロードリンクが存在しています。

 

 

<全般>

10

  • サポートアカウントの設定
    インターネット経由で確認できるサポートの各種情報(ナレッジベースの検索やダウンロードなど)へのリンクに利用するEMCサポートサイトに登録しているユーザ自身のアカウント情報です。

 

  • ログコレクション
    VxRail Managerの最新のログ情報を取得します。トラブル対応時に必要になるログの1つです。

 

  • ESRS(EMCセキュア リモート サポート)の有効化
    EMCのリモートサポートシステムであるESRSの実装状態を示します。

 

  • ネットワーク環境設定の構成
    各種インターネット経由の機能を有効化(オンライン)もしくは無効化(オフライン)にします。

 

  • クラスター監視の抑制
    システム全体の状態監視を有効化/無効化します。メンテナンス等の作業時にステータス監視を無効化するときに利用します。

 

  • システム診断
    現在のシステム全体の状態をチェックすることができます。

 

  • クラスターのシャットダウン
    クラスター全体のシャットダウンを行うときに実行します。シャットダウンプロセスの前にシステム診断が行われ、正常状態でないとシャットダウンは実行できません。

 

  • 言語を選択
    VxRail Managerの表示を各種言語に切り替えられます。

 

 

以上がVxRail Managerの操作概要となります。ログインした時点でステータスが把握できますし、リソースとハードウェアのステータスも1クリックで確認できる究極的に簡単な管理ツールと思います。次回は管理の後半戦として、良くあるご質問にまとめてお答えしたいと思います。

#1…VxRail & VSAN Overview

#2…VxRail インストール

#3…VxRail の運用と管理:前編 VxRail Managerのご紹介

#4…VxRail の運用と管理:後編 運用についての良くあるご質問

#5…VxRail によるデータ管理の向上

#6…VxRail のサイジングと設定について

VMware vRealize Operations Manager (vROps) をパワーアップしよう! パート2

1回目:最新のV4Hが使いやすくなっている!

こんにちは、ソフトバンク コマース&サービスの中川明美です。
7月から開始しましたvRealize Operations Manager (vROps)のBlogはおかげさまで好評を得ました。LikeやShareをいただいた読者のみなさま、誠にありがとうございます。
その結果を受け、パート2も執筆することになりました。「これは使える!」という実践的な内容を投稿していきたいと思います。今後ともよろしくお願いいたします。

パート2は次の5回構成です。

#1…最新のV4Hが使いやすくなっている!
#2…ビューの活用方法①
#3…ビューの活用方法②
#4…レポートの活用方法
#5…vRealize Log Insightとの連携

仮想化健康診断やワークショップを実施するたびに、「vROpsの活用法」を多くの方に知っていただきたいとわくわくします!活用法を手に入れ、ぜひvSphere環境を安定稼働に導いてください。

このBlogの環境は、次のバージョンを使用しています。
Matrix

異なるサイトではありますが、V4Hの基本的な使い方をご紹介しています。参考までにご確認ください。このBlogの環境はV4H6.1を使用しています。
VMware vRealize Operations for Horizon (V4H)を使いこなしてみよう!

 

「VMware vRealize Operations for Horizon (V4H)」の説明を始めます。

◆V4Hは何を監視するの?◆
「vROpsはわかるのですが、V4Hはわかりません」と質問を受けることがあります。
V4Hで何が監視できるのかを知る前に構造を理解しましょう。V4Hは次の図のように2階層で構成されます。V4Hのアダプタを追加すると、ユーザー (仮想デスクトップ)を中心としたデータを監視することができます。
V4H

セッションやログオン時間などユーザーに関連することは、V4H(Horizonダッシュボード)で、仮想デスクトップの仮想基盤であるvSphere環境に関連することはvROps(vSphereダッシュボード)で監視すると考えれば、ハードルは低くなりませんか。
もちろんHorizonダッシュボードでも、仮想基盤の監視は可能です。慣れるまでは、V4H 6.3をお使いなら、「Horizon Help Desk」「Horizonの概要」ダッシュボードを監視するだけでも十分です!

◆Horizon ダッシュボード◆
V4H 6.3のダッシュボードです。この中から、「Horizon Help Desk」ダッシュボードについて詳細に説明します。
Dashboard

◆Horizon Help Desk◆
ユーザーから問い合わせがあった場合、その原因を調査する際に有効なダッシュボードです。
画面上部の中央(赤枠)の「フィルタ」で該当のユーザー名で検索すると、そのユーザー(仮想デスクトップ)に関わるデータが表示されます。
「Horizon Help Desk」ダッシュボードで取得できる情報をリストアップします。

  • セッション関連メトリック
  • セッションログオンの内訳
  • 選択したユーザー セッションアラート
  • 選択したセッション関連オブジェクト
  • 仮想マシンメトリック
  • セッションプロセス
  • 仮想デスクトップ
  • Horizon Client

Dashboard2

「Horizon Help Desk」ダッシュボードの中でも、特にお勧めの「仮想マシンメトリック」と「セッションプロセス」についてご紹介します。この2つがサブタイトルにある「使いやすくなった」と言える点です。

◆仮想マシンメトリック◆
以前のバージョンでは、セッション情報とメトリック情報を同時に見ることができませんでした。V4H 6.3では、仮想デスクトップのキャパシティやパフォーマンスを分析するために必要な主なメトリックが表示されます。
Dashboard3

上図の「VM Health」が赤色表示されているのは、アラート情報から、ディスク領域の不足が原因であるとわかります。パフォーマンスに関するメトリックは緑色表示のため、パフォーマンスの劣化は生じていないと判断できます。
「アラート」→「VM Health」→「VM Workload」→「メトリック」が一つのダッシュボードに表示されているため、この順で確認すれば、トラブル時の原因特定を早められますね。

次に、CPUとメモリのメトリックに言及します。

<CPU
に関するメトリック>
仮想デスクトップ基盤では、オーバーコミットによる、CPUの競合が発生する確率が高いように見受けられます。「CPU Ready」や「Co-Stop」の値から、仮想CPUに物理CPUがアサインされず、待ちが発生しているかいないかがわかります。これらの高い値はパフォーマンスの劣化を表わします。パフォーマンスに影響を与える値の目安としては、「CPU Ready」が10%以上、「Co-Stop」が15%以上と言われています。Co-Stopはクリティカルなレベルで影響を及ぼしますから、15%を超えないための対応が必要です。対応方法は、CPUリソースの空きがあるESXiホストへvMotionするか、CPUリソースの空きがなければESXiホストを追加します。

「vCPU Recommended」が表示されるのも嬉しいですね。仮想デスクトップに構成された値である「vCPU Count」よりも「vCPU Recommended」が多い場合は、キャパシティに問題がある(vCPUの割り当てが少ない)ことがわかります。

<メモリに関するメトリック>
メモリについては、「Memory Swap」が発生している時点で、物理メモリが枯渇していることがわかります。パフォーマンスに悪影響を及ぼしますから、早急に対応する必要があります。対応方法は、メモリリソースの空きがあるESXiホストへvMotionするか、メモリリソースの空きがなければESXiホストを追加します。

◆セッションプロセス
セッションプロセスでは、仮想デスクトップ(ゲストOS)の「サービス」「プロセス」「Traceroute」のデータを取得できます。
Dashboard4

<デスクトップ サービスを取得/デスクトップ プロセスを取得>
「サービス」または「プロセス」のデータから、どのApplicationがどの程度リソースを使用しているかを確認することができます。たとえば、仮想マシンのCPU使用率が高い場合、ゲストOS上のどのApplicationがCPUを多く使用しているのかを確認することができます。下図に表示されているCPU以外に、Page、Disk Read、Disk Write、Network Packetsのデータを取得できます。
Dashboard5
Dashboard6

<デスクトップを取得/クライアントのTraceroute>
仮想デスクトップから、Horizon Clientがインストールされている機器までのTracerouteを表示することができます。このTracerouteの結果から物理ネットワークの状態を確認することができます。セッションが切れる場合、1つの参考値になると思います。
Dashboard7

 

<セッションプロセスのデータ取得/表示>
データ取得は、「アクションの選択」でメニューを選択後、実行ボタン(赤枠)をクリックします。実行ボタンを押した時点のデータを取得することができます。
Dashboard8

過去のデータは、コンボボックスのリストから該当の日時を選択し、表示します。
Dashboard9

◆まとめ
V4H6.3では、「Horizon Help Desk」ダッシュボードのみで、仮想デスクトップの様々な情報を取得することができます。トラブル時などは、このダッシュボードだけで、必要な情報を取得できます。便利になりました!
これからは、「情報が多すぎてどのデータを確認したらよいかわからない」と質問されたら、「Horizon Help Deskダッシュボードを活用ください」と答えられます。
大きな単位(たとえばPodやPool単位)で仮想デスクトップの状態を分析したい場合は、その他のHorizonダッシュボードを活用します。仮想基盤を分析する場合は、V4Hでも標準vROps機能を当然活用することができます!
次回はvROpsに戻り、ビューの活用法をご紹介します。ビューを理解することがvROpsの活用度を高めます!

nakagawa

 

ソフトバンクC&SのサイトでvROpsを使用した仮想化健康診断の事例を紹介しています。
ここでは、「vSphere環境を運用管理している方が何に困っているのか」「その困ったことにパートナーのみなさまがどのようにアプローチされているのか」を載せています。
インタビュー形式で構成しています。ぜひお仕事に役立つ情報を手に入れてください!
voa

 

VMware vRealize Operations Manager (vROps) をパワーアップしよう!

4回目:3rd Party Management Packs (F5/NetApp/UCS)

– Back Number –
#1…カスタムダッシュボードって難しいの?
#2…SDDC Management Packs (VSAN/NSX)
#3…3rd Party Management Packs (Deep Security)
#4…3rd Party Management Packs (F5/NetApp/UCS)

こんにちは、ソフトバンク コマース&サービスの中川明美です。

4回目は、3rd Partyの管理パックについてご紹介します。ここでは特にカスタムダッシュボード作成時のデザイン構成の参考にしていただけたらと思います。
カスタムダッシュボードを作成する段になると、どう構成するのが最適なのかを悩みませんか。少なくとも私は悩みます(笑)。
管理パックは、まさにカスタムダッシュボードです。カスタムダッシュボードの構成要素とレイアウトのヒントになればと考え、
3社「F5ネットワークス/NetApp/シスコシステムズ」の管理パックをピックアップしました。並べてみると、新たな発見があります!
またエンドユーザー様からよくご質問を受ける、「ダッシュボード活用法」の回答を共有します。ぜひ参考にしてください!

◆管理パックの入手方法◆

下図は、「VMware Solution Exchange」の画面です。
3社の管理パックである、「F5 BIG-IP」「NetApp Storage」「Cisco UCS」は、Blue Medora社から提供されています。
「Cisco UCS」はシスコシステムズ社からも提供されています。
Solution-Exchange

Blue Medora社はvROpsの3rd partyの開発会社です。こちらのURLから、各管理パックの評価版をダウンロードできます。管理パック名をクリックし、表示されたウィンドウで「Try」ボタンをクリックします。
https://solutionexchange.vmware.com/store/companies/blue-medora

順に3社の管理パックを見ていきましょう。

◆F5 BIG-IP◆

「F5 BIG-IP」は、VMware Horizon環境で、「セキュリティ」や「Connection Serverの負荷分散」を目的に提案される製品の一つですね。F5 BIG-IP製品の詳細については、F5ネットワークスジャパン合同会社のURLをご確認ください。

https://f5.com/jp/products/big-ip

7あるタブの中から、「F5 BIG-IP World Overview」タブを選択しました。このタブは、「スコアボード(赤枠)」「ヒートマップ(青枠)」「オブジェクトリスト(緑枠)」から構成されています。
スコアボードは、メトリックや測定単位、カラーメソッドを表示できるのが特長的です。
こちらのスコアボードからは、各コンポーネントを構成するオブジェクトの健全性と下位オブジェクト数を確認できます。また3列にすることで、より多くの情報を表示できます
F5-Overview

————————————————————————————————————————-

複数列を並べるには?
vROps 6.2.1では、列数を指定するのではなく、ウィジェットリストから必要なウィジェットをドラッグ&ドロップで並べます。4つまで並べてみましたが、見やすさを考えると、3つまでがお勧めです!
Widget

 

◆NetApp Storage◆

ネットアップ株式会社は、外資系ストレージベンダーです。ネットアップ社のストレージは、vSphere基盤で使用するNASストレージとして私は知りました。ネットアップ株式会社のストレージ製品の詳細については、こちらのURLをご確認ください。
http://www.netapp.com/jp/products/storage-systems/

11あるタブの中から、「NetApp SVM QoS」タブを選択しました。このタブは、「オブジェクトリスト(赤枠)」「表示(ビュー)(緑枠)」「スコアボード(青枠)」から構成されています。
オブジェクトリストは、複数の表示方法(フィルタリング)が提供されています。たとえば、「オブジェクト」というグループ単位、または「オブジェクト名」という個の単位があります。フィルタリングの設定によって、リスト内の表示内容を変えることができます。
こちらのタブの「オブジェクトリスト」は、「Virtual Machine」「Volume」「Datastore」のオブジェクト単位で表示されています。左側の「オブジェクトリスト」で任意の下位オブジェクトを選択すると、右側の「ビュー(リスト)」または「スコアボード」で、選択した下位オブジェクトと関連したデータが表示されるように設定されています
Netapp-SVM
————————————————————————————————————————-

スコアボードの内容を変更するには?
このカスタムダッシュボードは、クラスタ単位のリソースが表示されるように設定しています。リソースは、左側に「CPU」「メモリ」「ディスク」の総容量、右側にCPUとメモリの使用率およびディスクの使用量を表示します。
Object-List

次の手順で、ダッシュボードを新規作成します!
※詳細な手順は、「#1_カスタムダッシュボードって難しいの?」を参考にしてください。

  1. 「ウィジェットリスト」から、「オブジェクトリスト」と「スコアボード」をドラッグ&ドロップ
  2. 「ウィジェットの相互作用」で、選択したオブジェクトを「オブジェクトリスト→スコアボード」に設定

「スコアボード」をドラッグ&ドロップした直後は、意図した情報ではありませんね。

Object-List2

 

「オブジェクトリスト」にはクラスタ名が表示されるように編集し、「スコアボード」には意図した情報が表示されるようにメトリックの作成および指定をします。

オブジェクトリストの編集

「フィルタリングするタグの選択」から、「クラスタコンピューティングリソース」を選択します。「クラスタコンピューティングリソース」は、「オブジェクトタイプ」内にあります。

Edit-Object-List

 

メトリックの作成

今回は「sampleScoreboard.xml」をコピーし、新規作成しています。他に、「vRealize Operationsメトリック、プロパティ、およびアラートの定義」ドキュメントを参考にしました。

Metric-Management

 

スコアボードの編集

スコアボードの内容を意図した情報にするために、作成したメトリックを指定します。

Edit-Scoreboard

◆Cisco UCS◆

Cisco UCSは、シスコシステムズ合同会社が提供するサーバー製品です。先のNetAppストレージと、Cisco UCSサーバーおよびNexusスイッチの統合基盤である、FlexPodでも知られていますね。シスコシステムズ合同会社のユニファイド コンピューティング製品の詳細については、こちらのURLをご確認ください。
http://www.cisco.com/c/ja_jp/products/servers-unified-computing/product-listing.html

5あるタブの中から、「UCS Fabric Interconnect Overview 」タブを選択しました。このタブは、「オブジェクトリスト(赤枠)」「健全性チャート(紫枠)」「スコアボード(青枠)」「オブジェクトの関係(オレンジ枠)」「メトリックビュー(緑枠)」から構成されています。
こちらのタブでは、オブジェクトリストでオブジェクトを選択すると、複数の関連情報が表示されます。たとえば、左上の「Fabric Interconnects」オブジェクトリストで「UCS Adapter sys/switch-B」を選択すると、健全性、ステータス、スイッチを中心とした他のオブジェクトとの関係、アラート、ネットワークスループットが表示されます。そしてパワーサプライの情報がこのタブから得られます。任意のオブジェクトを複数の視点で分析したい場合、異なる複数のウィジェットで連携させると便利ですね。

UCS-Overview

 

————————————————————————————————————————-

ウィジェットには何があるの?
vROps 6.2.1では、44のウィジェットが提供されます。その中でも使用頻度が高いのではと思われる15のウィジェットをリストアップしました。たくさんありますね。

Widget1Widget2Widget3

◆一番多い質問は?◆

得られる情報が多すぎる、何を確認したらよいのかがわからない。これが私への一番多い質問です。先ほどまでは、「多くの情報を一画面で確認できるのは便利です」と様々な手法をご紹介しました。しかし、使用者のスキルレベルによっては、情報の多さに圧倒されてしまうようです。「多いなら少なくすればよいのでは?」と使用頻度の低いウィジェットを削除することをお勧めしています。
新規でカスタムダッシュボードを作成するのも1つの方法です。そして、デフォルトで提供されているダッシュボードをコピーして、ウィジェットを追加/削除するのもカスタマイズの1つの方法です。

ここでは、「診断」ダッシュボードを例に説明します。
診断に必要な情報が、1つに集約され、使い勝手がよさそうなダッシュボードです。こちらをvSphereの深い知識を持たない方を対象に、カスタマイズしてみました。
メトリックに関するウィジェット(赤枠)を削除し、パフォーマンスに関する「ワークロード」と「ストレス」のバッジ(青枠)はスクロールしない位置に変更しました。メトリックの詳細な値までを必要としない方は、このシンプルなカスタムダッシュボードを使用します。

<変更前>

Before

<変更後>
After

 

まとめ

vROpsの活用方法を知っていただきたく、今回執筆いたしました。導入したものの、活用できていない方々がいらっしゃると聞きます。ぜひこちらのBlogを参考に、vROpsをパワーアップしてみください。それから、活用できていない要因には、シンプルなツールを複雑に捉えているのかなぁという印象もあります。まだまだお伝えしたいことは尽きません。

パート2も企画しております!今後ともよろしくお願いします。

nakagawa

ソフトバンク C&Sのサイトで仮想化健康診断の事例を紹介しています。運用のヒントになるかもしれません。
詳細についは、以下↓↓アイコン↓↓をクリックして下さい!

Logo2

第2回 VMware Virtual SAN(VSAN)搭載アプライアンスVxRailとは? ~ VxRail インストール ~

こんにちは、ネットワールドの石塚 智規です。前回の富士ソフト山本さんの続きとして、ハイパーコンバージドインフラのアプライアンス「VxRail」のセットアップについてご紹介したいと思います。

ishitsuka_mini

その1:導入準備

VxRailの導入のためには以下のようなものが必要です。

 

  1. VxRail
    1箱にアプライアンス本体、電源ケーブル、ベゼルがまとめられています
  2. 10Gbスイッチ
    アプライアンス毎に8個のポートが必要です
    VxRail 60のみ1Gb対応, アプライアンス毎に16個のポートが必要です
  3. 10Gbスイッチに適合したケーブル×8個
    VxRail SFP+モデルのTwinaxケーブルはActive/PassiveのどちらでもOK
  4. 200V電源ポート×2個
    VxRail 60は100V×2個でもOK
  5. Windows PC
    ブラウザとしてFirefoxもしくはChromeをインストール済みであること

 

ネットワークスイッチの構成としては、以下の3つのポイントがあります。 ネットワークの構成検討材料としてEMC/VCEからこちらの資料が提供されています。

http://www.emc.com/collateral/guide/h15300-vce-vxrail-network-guide.pdf

  • Default VLANを構成して下さい(恒久的に利用します)
  • 全てのノード間の管理セグメントにはマルチキャスト通信が必要です
  • 全てのノード間のVSANセグメントにはマルチキャスト通信が必要です

 

また、作業のためのWindows PCのIP設定を変更します。VxRailの初期設定のためには工場出荷時に設定されている管理IPアドレス「192.168.10.200/24」に接続する必要があるからです。初期設定のあと、実運用IPアドレスに継続して接続する必要があるので、その両方のIPアドレスに接続できる状態にしておくと良いかと思います。例えば以下のように実運用セグメントのIPアドレスとして10.10.50.101/16を設定し、初期設定用IPアドレスとして192.168.10.21/24の両方を設定している状態です。

01

続いて準備するパラメータは以下の通りです。VxRailバージョンv3.5からは外部のvCenterやPlatform Service Controllerが利用できるようになっています。

 

<システムパラメータ>

  1. NTPサーバ
  2. DNSサーバ
  3. オプション)Active Directory情報(ドメイン名, ユーザ名, パスワード)
  4. オプション)HTTPプロキシ情報(プロキシサーバIPアドレス, ポート番号, ユーザ名, パスワード)

<管理パラメータ>

  1. ESXiのホスト名(ホスト名は1から始まる通し番号になります)
  2. ESXiのIPアドレス(4つの連続したIPアドレス)
  3. vCenterホスト名
  4. vCenterのIPアドレス(ESXiの管理IPアドレスと同セグメント)
  5. Platform Service Controllerのホスト名
  6. Platform Service ControllerのIPアドレス(ESXiの管理IPアドレスと同セグメント)
  7. VxRail Managerのホスト名(VxRailの管理GUIを提供する仮想マシンのホスト名)
  8. VxRail ManagerのIPアドレス(ESXiの管理IPアドレスと同セグメント)
  9. 上記の管理IPセグメントのネットマスク
  10. 同管理IPセグメントのゲートウェイ
  11. ESXiのパスワード及びvCenter/PSC/VxRail Managerのパスワード
    ※共に複雑性を求められ、特定の記号(&’”;=`\$)は利用できません。
    また、キーフレーズ及びそれに類するものも利用できません。
    例えば Welc0me1! のような複雑性が必要になります。

<vMotionパラメータ>

  1. ESXiのvMotion用IPアドレス(4つの連続したIPアドレス)
  2. 同vMotionセグメントのネットマスク
  3. 同vMotionセグメントのVLAN ID

<Virtual SANパラメータ>

  1. ESXiのVirtual SAN用IPアドレス(4つの連続したIPアドレス)
  2. 同Virtual SANセグメントのネットマスク
  3. 同Virtual SANセグメントのVLAN ID

<仮想マシンネットワークパラメータ>

  1. 仮想マシンネットワーク名(仮想マシンに割り当てるポートグループ名)
  2. 仮想マシンネットワークのVLAN ID

<解決方法パラメータ>

  1. ログサーバ(vRealize Log Insight(バンドル済み)もしくはSyslog)の選択
  2. ログサーバのホスト名
  3. ログサーバのIPアドレス

以上のパラメータを入力後、ボタンを押して15分待てばセットアップが完了、と言うことになります。

 

その2:セットアップ

必要なハードウェア、10Gbスイッチの構成(VxRail 60の場合は1Gbスイッチ)、パラメータの準備ができたら、あとは箱を開けてセットアップするだけです。

02

ネットワーク接続は上記の「1GbEポート」もしくは「10GbEポート」を全て接続します。

03

続いて電源起動ですが、ここでのポイントは電源をノード#4 ⇒ ノード#3 ⇒ ノード#2 ⇒ ノード#1の順番で30秒間隔で起動する、と言うことです。あとは5分程度待てばセットアップが開始できるようになります。初期設定用のIPアドレスである「192.168.10.200/24」にブラウザで接続します。

04

「開始する」ボタンをクリックして、初期設定を開始します。続いて使用許諾に関するページが表示されるので「同意」ボタンをクリックします。

poic

構成方法としてこのままウィザードを使って構成する「ステップバイステップ」とJSONファイルを使った「構成ファイル」の2つの方法が選べます。今回はこのままウィザードを進めたいと思いますので「ステップバイステップ」をクリックします。

05

まずは<システムパラメータ>の入力が促されます。事前に準備しているパラメータを入力して「次へ」ボタンをクリックします。

06

続いて<管理パラメータ>の入力が促されます。事前に準備しているパラメータを入力ます。また、外部のvCenterを利用する場合は「vCenter Serverの統合」チェックボックスを有効化して、IPアドレスと管理ユーザ情報、そしてVxRailを所属されるデータセンター名とクラスター名を入力します。同様に外部のPlatform Service Controllerを利用する場合は「External Platform Services Controller」チェックボックスを有効化します。パラメータの入力が完了したら「次へ」ボタンをクリックします。

07

続いて<vMotionパラメータ>の入力が促されます。事前に準備しているパラメータを入力して「次へ」ボタンをクリックします。

08

続いて<Virtual SANパラメータ>の入力が促されます。事前に準備しているパラメータを入力して「次へ」ボタンをクリックします。

09

続いて<仮想マシンネットワークパラメータ>の入力が促されます。事前に準備しているパラメータを入力します。複数の仮想ネットワークを構成したい場合は「もう1つ追加」をクリックして任意の構成に変更します。完了したら「次へ」ボタンをクリックします。

pic2

最後に<解決方法パラメータ>の入力が促されます。事前に準備しているパラメータを入力して「次へ」ボタンをクリックします。

10

全てのパラメータの入力が終わったら「検証」ボタンをクリックします。正しく構成されていれば「構成が基本検証とネットワーク検証を追加しました。」と言う緑色のメッセージが表示されるので「VxRailの構築」ボタンをクリックして構築を開始します。エラーが表示された場合はその内容を参考にして、スイッチ側の構成や入力したパラメータをチェックし、再度「検証」ボタンをクリックします。

11

無事、セットアップが開始されると初期設定で利用していた工場出荷状態のIPアドレス(192.168.10.200)から実運用で利用するIPアドレスへ変更されます。「構成の開始」ボタンをクリックします。

12

ここから自動的な構成が始まります。100%になるまで15分程度待ちます。万が一、途中で止まってしまった場合は表示されたエラーメッセージや右下にある「ログの表示」をクリックして状態を確認します。

13

無事、構成が完了されたら「VxRailの管理」ボタンをクリックして、管理GUIであるVxRail Managerのログイン画面に移動します。

14

VxRail ManagerにはvCenterと同じユーザ名/パスワードでログインします。VxRailアプライアンス内にvCenter/PSCを配置している場合はadministrator@vsphere.localユーザを利用して下さい。

15

これがVxRail Managerの管理画面です。セットアップ直後は幾つかのエラーが記録されることがありますが、これは次回でご紹介したいと思います。

 

VxRail ブログ ~ 全 5回 ~

#1…VxRail & VSAN Overview

#2…VxRail インストール

#3…VxRail の運用と管理:前編 VxRail Managerのご紹介

#4…VxRail の運用と管理:後編 運用についての良くあるご質問

#5…VxRail によるデータ管理の向上

#6…VxRail のサイジングと設定について

VSAN Cormac Blog 〜VSAN 6.2 VM スワップ オブジェクトに関する新機能〜

本 blog は VMware Storage and Availability Business Unit の Cormac Hogan Blog の翻訳になります。 VSAN をより深く知っていただき活用していただく為、本記事の翻訳がお役に立てば幸いです。

このブログを開いた時点でVSANをよく理解している方々は、仮想マシンをデプロイすると、VSANデータストア上ではオブジェクトのセットとしてデプロイされ、従来のようにデータストアにデプロイされるようなファイルのセットではないことをご存知でしょう。VSANのオブジェクトには、仮想マシンのホームネームスペース、VMDK、そしてVMスワップが含まれます。VMスワップは、仮想マシンがパワーオンされている時にのみ存在しますが、VSAN上では常に100%のオブジェクトスペースが予約されてプロビジョニングされます。このことで容量を大量に消費することになり、課題となっていました。例えば、8GBメモリの仮想マシンを100台デプロイすると、800GBのディスク容量がVMスワップとしてプロビジョニングされます。これは、仮想マシンがリソース起因の問題を発生させないために予約された容量です。

VSAN 6.2からは、VMスワップの領域をシンプロビジョニングのようにデプロイ出来るようになりました。

注意点として、この設定はVSANクラスター内の全てのESXiホスト上で SwapThickPrivisionDisabled を有効にする設定が必要です。この設定はデフォルトでは無効になっています。

[root@esxi-a-pref:~] esxcfg-advcfg -g /VSAN/SwapThickProvisionDisabled
Value of SwapThickProvisionDisabled is 0

有効化するには:

[root@esxi-a-pref:~] esxcfg-advcfg -s 1 /VSAN/SwapThickProvisionDisabled
Value of SwapThickProvisionDisabled is 1

 

今、VSANデータストア上の仮想マシンがパワーオンされた時、それらのVMスワップオブジェクトがシンプロビジョニングされます。すなわち、100%のオブジェクトスペースリザベーションポリシーはもう実装されません。

VSAN 6.2の容量ビューのスクリーンショットをいくつか掲載します。デフォルト設定状態でVMスワップを持つ仮想マシン、そして仮想マシンの電源をオフし、全てのホストに対して SwapThickPrivisionDisabled を有効化した後に、再度電源をオンしました。

最初のスクリーンショットは、オブジェクトタイプ毎のグループによる容量ビューです。約10台の仮想マシンが、合計でスワップスペースを84.09GB消費しています。これは、デフォルトオブジェクトスペースリザベーション100%を使用しています。

vsan62-part-5-1-swap-before

 

次に、仮想マシンをパワーオフし、 SwapThickPrivisionDisabled の設定をESXiホストに対して変更をかけました。予想される通り、VSANデータストア上でスペースを消費しているVMスワップオブジェクトはありません。

vsan62-part-5-2-swap-vm-off

 

最後に、パラメーターの設定された仮想マシンを再度パワーオンします。スワップオブジェクトがデフォルト状態とは大きく異なり、容量を88MBしか消費していないことを確認することができるでしょう。

vsan62-part-5-3-swap-thin

 

この新機能により、VSAN利用時における容量消費をかなり抑えることが可能になります。抑えられる容量は、いくつの仮想マシンをデプロイするか、またどの程度大きいVMスワップスペースか(本質的に仮想マシンにアサインされた予約されていないメモリーのサイズ)に依存します。

 

原文:VSAN 6.2 Part 5 – New Sparse VM Swap Object
VMware Storage and Availability Business Unitの シニアスタッフエンジニアCormac Horganの個人ブログを翻訳したものになります。VSANの詳細に関しては弊社マニュアル 、KBをご確認ください。また本記事は VSAN 6.2ベースに記載しております。予めご了承ください。

VMware vRealize Operations Manager (vROps) をパワーアップしよう!

3回目:3rd Party Management Packs (Deep Security)

– Back Number –
#1…カスタムダッシュボードって難しいの?
#2…SDDC Management Packs (VSAN/NSX)
#3…3rd Party Management Packs (Deep Security)
#4…3rd Party Management Packs (F5/NetApp/UCS)

こんにちは、ソフトバンク コマース&サービスの中川明美です。
3回目は、トレンドマイクロ株式会社の製品「Trend Micro Deep Security」とvROpsの連携についてご紹介します。今回は、トレンドマイクロのvExpert 姜(かん)さんと二人で進めます。

◆vROpsと連携できるの?◆
姜さんからおうかがいするまで、Trend Micro Deep Security (以降Deep Security)とvROpsが連携できることを知りませんでした。
私が興味深かったのは、「CPU PERFORMANCE」の画面(左の図)です。「CPU使用率」と「セキュリティイベント」を並べて監視することができます。リソースへの影響をセキュリティイベントから確認できるのは、おもしろい視点ですね!

下図では、セキュリティイベント数が高くなると同時にCPU使用率も高くなっています。この結果から、高いCPU使用率の原因は、セキュリティイベントであろうと推察できます。
Deep Securityをお使いの環境で、仮想マシンのCPU使用率が高い場合、「CPU PERFORMANCE」の画面も確認しておくのが必須ですね。「なぜCPU使用率が高いのか」を、複数ある事象から原因を特定する際に、工数を短縮できそうです。
また、「SECURITY MODULES」の画面(右の図)では、どのイベントが影響を及ぼしているのかを確認できます。ここでは、「ファイアウォールイベント」と「不正プログラム」イベントが「セキュリティ イベント数」と関連しているようです。どちらのイベントも気になりますね!

vROps-DeepSecurity

 

◆アラートの一括表示も便利◆
Deep Security Managerで検知したアラートを集中管理できるのも便利ですね。1つのツールでインフラ情報とイベント情報を管理することができます。

Alert

 

ここから、姜さんの登場です!
vROpsとDeep Securityが連携することによって、どのような情報が得られるのかをご説明いただきます。
————————————————————————————————————————-
みなさん、こんにちは!
トレンドマイクロ株式会社の姜(かん)と申します。
今回の共同執筆に関しては、中川さんの旧友である弊社インフォメーションサービス本部の今泉からの紹介で実現いたしました。
というのも、弊社インフォメーションサービス本部ではDeep Security + VMware NSX + VMware Horizon + VMware Virtual SAN + VMware vRealize Operations for Horizonという構成で社内のサービスを提供しており、Deep SecurityとvROpsの連携も利用しているのです!

ではさっそくですが、Deep Security とvROpsの連携について説明いたします。

◆Deep Securityって?◆
Deep Securityをご存じない方、いらっしゃると思いますので簡単にご説明します。1つの製品でサーバやVDIの保護に必要なセキュリティをご用意した統合型ソリューションです。


DeepSecurity
VMware社製品との連携ですと、下図真ん中のエージェントレス型とVDIの組み合わせで多くのお客様にご利用いただいております。

DeepSecurity2

 

◆Deep SecurityとvROpsの連携って?◆
管理パックを利用することにより、Deep Security Managerで管理しているステータスやイベント情報がvROpsのコンソールから確認できます。
これによりインフラだけではなく、セキュリティのイベントも、vROpsを利用し統合して可視化することが可能です。

DeepSecurity3

 

◆主なユースケースは?◆
vROps連携で提供できる主な機能は、
・パフォーマンス分析
・セキュリティ分析
となります。

【パフォーマンス分析】は、サーバリソースへの影響をセキュリティイベントから考察するものとなります。
代表的な例としては、中川さんが前述しているような、「サーバのCPU使用率が上昇したけれどインフラ側面からはおかしなことは発生していない」「アクセス過多やキャンペーンも特に行っていない」といった時に、セキュリティ観点で調査をするとセキュリティイベントを多数検知しており、実は何らかの攻撃を受けていたといったものとなります。

【セキュリティ分析】は、各コンピュータのセキュリティイベント傾向を把握するために、「全体 ⇒ 個」へドリルダウンし、イベントの傾向分析を行いやすくするためのものとなります。

ここから、【セキュリティ分析】の主なユースケースについてご紹介します。

◆Heat Map分析◆
こちらはvROpsでもおなじみのHeat Mapですね。
「不正プログラム」や「脆弱性対策」といったセキュリティの機能ごとにMapを表示しますから、各コンピュータのセキュリティ状態や傾向を種別ごとに把握することが可能です。
「Total」には各コンピュータのセキュリティ状態の合計が表示されますので、組織の中で攻撃を受けやすいコンピュータを一目で把握できるようになります。

CustomDashboard-DeepSecurity

次に、Heat Map分析の使用例です。
営業、開発、人事といった各部門がコンピュータを利用しており、営業部門の【不正プログラム】には赤いコンピュータがいくつか存在しています。
これは、営業部門が所有しているコンピュータが不正プログラムに感染し、その後潜伏活動を経て別の端末に横感染活動している可能性が考えられます。
更に【Webレピュテーション】を確認すると、不正プログラムに感染している端末のうち2台から外部へ不審な通信が発生していることがわかります。おそらく外部の不正なサーバへ接続した後に、更に不正なプログラムをダウンロードしようとしていたのではと考えられます。
こういった一連の動きがインフラ側から可視化できるだけではなく、組織全体に対する攻撃傾向を把握し、対策を検討していくことも可能かと思います。

Heatmap

 

◆Metric Graph分析◆
前述のHeat Mapをドリルダウンすることで下図のように各コンピュータの傾向を把握できる【Metric Grap】を閲覧できます。
各コンピュータにおける、「一定期間内でのピークタイム」や「各種イベント発生頻度」の把握が可能となります。
「どの時間帯に攻撃を受けやすいのか?」「どういった攻撃を頻繁に受けているのか?」といったことを確認できます。

Metric

 

◆Top “N”分析◆
Top”N”は各コンピュータのセキュリティイベントを分析し、頻繁にイベントが発生しているコンピュータを抽出します。下図は「脆弱性対策」のイベント数となりますが、「Firewall」、「Webレピュテーション」、「変更監視」や「不正プログラム対策」のTop”N”も利用できるため、セキュリティ種別ごとに攻撃を受けているコンピュータをリスト化できます。

TopN

 

◆管理パックの入手方法◆
管理パックはトレンドマイクロのSoftware Download Centerから入手可能となっております。
下記URLへアクセス頂き、「Tools/Utilities」タブをクリックして頂くと管理パックがダウンロード可能となります。
http://downloadcenter.trendmicro.com/index.php?regs=NABU&clk=latest&clkval=4855&lang_loc=1
ManagementPack

注1)Deep Securityの管理パックは無償でご利用可能です。
注2)管理パックは日本語OSでもご利用可能です。(メニューは英語表記のままとなります)

セキュリティはインフラと密接に関係していますが、運用管理の面では製品間連携ができていないかと思います。また使い勝手が悪く敬遠されがちかと思いますが、そういったお悩みをお持ちの方は、ぜひこの機会に触ってみていただければと思います。

それでは、中川さんにお返しします。

————————————————————————————————————————-

姜さん、私も勉強になりました!
「セキュリティ」に関する運用は、本当に大変だと思います。情報をすばやく入手し、対応できる環境を準備するのは、もはや前提なのかもしれませんね!

今回は、トレンドマイクロ株式会社 インフラストラクチャーサービス課 テクニカルマネージャーの今泉 芳延氏に企画をもちかけられ、トレンドマイクロ株式会社とソフトバンク コマース&サービス株式会社のvExpertでBlogを共同執筆するにいたりました。
今泉氏がサービスを提供されている仮想基盤は、まさにVMware製品で構成されたSDDC (Software Defined Datacenter)です。豊富なナレッジが蓄積されてそうです!
4回目は、カスタムダッシュボード設計の参考にしていただきたく、数社の管理パック画面をご紹介します。お楽しみに!

vExpert

 

ソフトバンク C&Sのサイトで仮想化健康診断の事例を紹介しています。運用のヒントになるかもしれません。
詳細についは、以下↓↓アイコン↓↓をクリックして下さい!

Logo2

VSAN Cormac Blog ~ VSAN 6.2 パート3 – ソフトウェアチェックサム ~

~ VSAN 6.2 パート3 – ソフトウェアチェックサム ~

本 blog は VMware Storage Business Unit の Cormac Hogan Blog の翻訳になります。 VSAN をより深く知っていただき活用していただく為、本記事の翻訳がお役に立てば幸いです。

次のVSAN 6.2に関する記事として、沢山のお客様がリクエストされていた重要な機能の一つである、”end-to-end software checksum”についてご紹介します。この機能は、基盤となる物理ストレージのメディア上で起こるエラーのために、整合性問題が発生することを回避することが出来ます。VSAN 6.2ではチェックサム機能がデフォルトで有効な設定になっています。また、VMストレージポリシーから、仮想マシン/オブジェクト単位で有効化、無効化することが可能です。お客様は常にこの素晴らしい新しい機能を活用したいと思われていると、我々は考えているので、チェックサム機能をデフォルトで有効にしています。ただし、アプリケーション側で同等の機能が実装されている場合は、この機能を無効化することがあります。

このチェックサム機能に関するポリシールールは、”Disable object checksum”と呼ばれています。以下に示す様に、VMストレージポリシーを作成する際に選択され、無効になります。それ以外の場合は常に有効になっております。

vsan_umetanisan01

 

VSAN上のチェックサムの概要について

VSAN上のチェックサムは、Intelプロセッサ上で特殊なCPU命令を利用して、最高のパフォーマンスを得る為に、とても一般的な巡回冗長性チェックCRC−32C(Castagnoli)を使用して実装されています。全ての4KBブロックは、それに関連付けられたチェックサムを持ちます。そのチェックサムは5バイトです。データが書かれた時にチェックサムは、万が一データがネットワーク通信中に任意の破損がある場合に、データを同じホスト上で検知することを保証します。チェックサムはデータで保持されます。

データの後続読み取りがされる過程で、もしチェックサムが有効な設定であれば、チェックサムデータもリクエストされます。もしたった今読まれたデータブロックが破損していることをチェックサムが検知した場合、RAID−1オブジェクトのケースにおいては、正しいデータを他のレプリカ/ミラーデータから読み込まれます。RAID−5, RAID−6のオブジェクトのケースでは、データブロックは、RAIDストライプの他のコンポーネントから再構成されます。エラーは、VMが稼働するホストだけでなく、コンポーネントがエラーを出力した機器を含んでいるホスト上のvmkernel.log ファイルにログされます。以下の例では、ランダムパターンのデータ上に、意図的にゼロデータを上書きして、ゲストOSからデータを読み込んでいます。

2016-02-16T07:31:44.082Z cpu0:33075)LSOM: RCDomCompletion:6706: \
Throttled: Checksum error detected on component \
a3fbc156-3573-4f2c-f257-0050560217f4 \
(computed CRC 0x6e4179d7 != saved CRC 0x0)

2016-02-16T07:31:44.086Z cpu0:33223)LSOM: LSOMScrubReadComplete:1958: \
Throttled: Checksum error detected on component \
a3fbc156-3573-4f2c-f257-0050560217f4, data offset 524288 \
(computed CRC 0x6e4179d7 != saved CRC 0x0)

2016-02-16T07:31:44.096Z cpu1:82528)WARNING: DOM: \
DOMScrubberAddCompErrorFixedVob:327: Virtual SAN detected and fixed a \
medium or checksum error for component \
a3fbc156-3573-4f2c-f257-0050560217f4 \
on disk group 521f5f1b-c59a-0fe2-bdc0-d1236798437c

スクラバーメカニズム

リード処理上でのチェックサム検証と並行して、VSANは、ディスク上のデータが如何なるサイレントコラプションも発生していないということをチェックする為のスクラバー機能を実装しています。このスクラバー機能は、年に一度全てのデータをチェックするように設計されています。しかしより頻繁に実行する為には、アドバンスドセッティングのVSAN.ObjectScrubsPerYear設定にて変更することが出来ます。もし全てのデータを毎週チェックしたい場合は、このパラメータを”52”に設定することで実現できます。しかしこの設定を行うことにより、いくつかのパフォーマンスのオーバーヘッドが発生することに気にしておく必要があります。

まとめ

チェックサムは、RAID−5/RAID−6, 重複排除、圧縮、ストレッチクラスタ構成といった、VSANの新しい機能すべてをフルサポートしています。上記の通り、それはデフォルトで有効設定になるので、お客様は設定を追加することなく、簡単にそのメリットを得られます。そして、もし何らかの理由により、チェックサム機能を利用したくない場合には、上記の通りVMストレージポリシーで簡単に無効化することが出来ます。この機能はVSANを利用するお客様に対して、一般的な物理ディスク障害による潜在的なセクターエラーや、その他サイレントデータコラプションによるデータ破損を検出することが出来ます。

原文:VSAN 6.2 Part 3 – Software Checksum
VMware Storage and Availability Business Unitの シニアスタッフエンジニアCormac Horganの個人ブログを翻訳したものになります。VSANの詳細に関しては弊社マニュアル 、KBをご確認ください。また本記事は VSAN 6.2ベースに記載しております。予めご了承ください。