Home > Blogs > Japan Cloud Infrastructure Blog

【VMware発表】Hybrid Cloud Manager とクラウド間ライブマイグレーション

VMworld 2015 のジェネラル セッションにて、ハイブリッドクラウド環境における管理機能を提供する「vCloud Air Hybrid Cloud Manager」、およびその拡張機能として、クラウド間のライブマイグレーションである Cross-Cloud vMotion などを実現するテクニカル プレビュー「Project SkyScraper」が発表されました。

本エントリでは、これらがどのような機能を提供するのか、その概要を説明します。ハイブリッド クラウドにこだわってきた VMware が提供する最新技術をぜひ知っていただければと思います。

vCloud Air Hybrid Cloud Manager の位置づけ

先日のエントリでも解説しましたが、VMware は、ハイブリッド クラウド環境のネットワークとセキュリティにおいて、大きく 3 つの領域で製品/サービスを提供することで、包括的なソリューションを提供しようとしています。オンプレミス側では VMware NSX、パブリック クラウド側では(VMware NSX による)Advanced Networking Services です。

Hybrid Networking 2

今回発表されたのは、図の中央に位置する、ハイブリッドクラウドの管理機能を提供する「vCloud Air Hybrid Cloud Manager」です。オンプレミスとパブリック クラウドを繋ぎ込む、ハイブリッドクラウド環境におけるネットワークとセキュリティの大事な機能を担います。

vCloud Air Hybrid Cloud Managerの機能

Hybrid Cloud Manager がどんな機能を持っているのか、簡単に説明しましょう。Hybrid Cloud Manager の重要な機能は、大きく 3 つあります。

HCM

ハイブリッドクラウド上のワークロードを一元管理

  • Hybrid Cloud Manager は vSphere Web Client のプラグインとして提供されます。導入すると、vSphere Web Client から vCloud Air 上のワークロードの管理を行うことができるようになります。
  • これにより、vSphere Web Client を通して、オンプレミスの vSphere 環境と、パブリック クラウドの vCloud Air 環境のワークロードを一元管理することができます。

強化されたワークロードの移行

  • オンプレミスと vCloud Air 間の双方向のワークロードの移行機能を提供します。ワークロードの移行は、今までは vCloud Connector が提供していた機能ですが、その機能が強化された形で Hybrid Cloud Manager に搭載されます。
  • 強化されたポイントは、vSphere のレプリケーションベースの移行が行えるようになったことです。暗号化されたインターネット接続もしくは Direct Connect を経由してレプリケーションすることで、仮想マシンのダウンタイムを数分のレベルにまで短縮できます。
  • さらに、ダウンタイムはソフトウェアベースの WAN アクセラレーション機能によってさらに削減されます。移行のタイミングはオフピーク時間にスケジューリングできます。

ネットワーク延伸の管理

  • Hybrid Cloud Manager を使えば、オンプレミスの何百ものネットワークセグメントを L2 VPN トンネルを使ってクラウドに延伸できるようになります。その際、エッジ ゲートウェイは 1 つでも問題ありません。暗号化されたインターネット接続、もしくは Direct Connect のどちらでも利用することができます。この機能により、オンプレミスのデータセンターからクラウドへとシステムをシームレスに拡張し、双方のリソースを統合して利用することが可能になります。
  • ワークロードの移動前後で IP や MAC アドレスをキープすることも可能になります。ユーザはオンプレミスおよびクラウドの特長を活かしつつ、新しいタイプのハイブリッドクラウドアプリケーションを作ることができるようになります。

Hybrid Cloud Manager は、vSphere ユーザは無償でダウンロードして利用でき、マイグレーションの強化とネットワーク延伸機能は有償オプションで利用可能になります。Hybrid Cloud Manager の利用に際し、オンプレミス側には VMware NSX は必要ありません。

Hybrid Cloud Managerは、まずDedicated Cloud(専有型クラウド)向けに 9 月に提供が開始され、今年の後半に Virtual Private Cloud(共有型クラウド)をサポートする予定です。

クラウド間ライブマイグレーションを実現する Project SkyScraper

それでは、今年の VMworld のジェネラル セッションの 1 つの目玉であったクラウド間ライブマイグレーション Cross-Cloud vMotion を実現する Project SkyScraper について説明していきましょう。テクノロジー プレビューである Project SkyScraper は、Hybrid Cloud Manager の拡張機能として提供され、大きく 2 つの機能を有します。

Cross-Cloud vMotion

Cross-Cloud vMotion

1 つ目の機能が、vSphere vMotion の新しいテクノロジーである Cross-Cloud vMotion です。VMworld のジェネラル セッションのデモでは、オンプレミスと vCloud Air の間で、稼働中の仮想マシンを Cross-Cloud vMotion を使って移行していました。Cross-Cloud vMotion は vSphere Web Client から利用することができるため、利用に際し特別なインタフェースは必要ありません。VMworld のデモでも、vSphere Web Client から右クリックで Cross-Cloud vMotion を呼び出して実行しています。

Cross-Cloud vMotion は、Hybrid Cloud Manager のワークロードの移行機能を強力に補完するものです。顧客はクラウドへの移行に際し、マシンのアップタイムで妥協する必要は無く、全ての vMotion の特長が維持されます。このテクノロジーは、顧客に更なる柔軟性を提供します。

Content Sync

Project SkyScraper のもう 1 つの機能が、Content Sync 機能です。この機能を利用することで、顧客にオンプレミスのコンテンツ ライブラリを vCloud Air のコンテンツ カタログと同期できます。具体的には、VMのテンプレート、vApp、ISOイメージ、そしてスクリプトなどが含まれます。オンプレミスとクラウドの間でのコンテンツの一貫性あるものにし、間違いの多い手動での同期プロセスを無くすことができます。

仮想インフラでの運用をガラリと変えた vSphere vMotion が、いよいよクラウドの壁を越えて実行できるようになってきました。ライブマイグレーションを用いてクラウドへの移行が行えるようになれば、既存のワークロードを容易にクラウドへ移行できるようになるなど、クラウドの使い方や運用方法を大きく変えることは間違いありません。

VMware のハイブリッドクラウド技術の更なる進化にぜひご期待いただければと思います。

ハイブリッド クラウド環境のネットワークとセキュリティにおける VMware の取り組み

VMworld 2015 前に VMware の最新状況をお伝えするエントリ第 3 回です。今回は、ハイブリッド クラウド環境のネットワークとセキュリティにおける VMware の取り組みをお伝えします。

VMware が取り組む 3 つの領域

VMware は、ハイブリッド クラウド環境のネットワークとセキュリティにおいて、大きく 3 つの領域で製品/サービスを提供することで、包括的なソリューションを提供しようとしています。

Hybrid_Networking

図の左側から順に紹介すると、まずオンプレミス環境のプライベート クラウド向けに VMware が提供しているのが、ネットワーク仮想化プラットフォームである VMware NSX です。ハイパーバイザーに組み込まれた分散ファイアウォールによる「マイクロ セグメンテーション」や、仮想ネットワークによる「データセンターの自動化」などが、その主なユースケースです。

そして図の中央にあるのが、今年 2 月に VMware がその構想を発表した「ハイブリッド クラウド向けのネットワーク管理機能」です。この領域には、オンプレミスとパブリック クラウドのシームレスな接続や、一元的な管理、効率的な移行をするための機能が含まれます。今後、ハイブリッドクラウドの需要が増加するに従って、非常に重要な機能になってくるはずです。Interop_Tokyo_2015

最後に図の右側にあるのが、パブリック クラウド側でのネットワーク仮想化および先進的なセキュリティを実現する vCloud Air Advanced Networking Services です。このサービスは、この第 3 四半期中に日本ロケーションでの提供を開始することが今年の 6 月に発表されました。Interop Tokyo 2015にて Best of Show Award 2015 のクラウド プラットフォーム部門でグランプリを受賞するなど、市場から高い評価を受けています。

以下、Advanced Networking Services について、その概要を紹介します。

VMware NSX によりネットワーク機能を拡張する Advanced Networking Services

Advanced Networking Services では、VMware NSX を vCloud Air 内で実装することで、パブリック クラウドにおけるネットワーク/セキュリティ機能を拡張しています。VMware NSX を実装することでさまざまな新機能が実現されますが、その中でも重要な Advanced Networking Services の機能を、下記に紹介しましょう。

ANS Overview

分散ファイアウォールによるマイクロ セグメンテーション

  • 仮想マシン単位で動作するステートフルなファイアウォールにより、パブリック クラウドでもマイクロ セグメンテーションを導入できます。
  • 仮想マシンなどを使ったオブジェクトベースのルールをファイアウォールに設定できるので、通常のファイアウォールよりも運用負荷を下げながら、高度なセキュリティを実現できます。
  • この機能は分散ファイアウォールとしてハイパーバイザー内部に実装されているため、ネットワーク トラフィックにボトルネックが発生しません。

動的なルーティング

  • vCloud Air 側で BGP および OSPF ベースのルーティング機能をサポートすることにより、オンプレミスと vCloud Air 間、さらに vCloud Air 内の仮想データセンター間でのネットワーク統合をシンプルに行うことができるようになります。

ネットワークのスケーラビリティの強化

  • vCloud Air の仮想データセンターあたり 200 個までの仮想ネットワーク インタフェースをサポートします。これにより、オンプレミスの複雑なネットワーク トポロジーを vCloud Air 側で再現しやすくなり、パブリック クラウドの適用領域が拡大します。

アプリケーション ルールに基づくレイヤ 7 のロードバランシング

  • http ヘッダの情報を活用した負荷分散機能を VMware vCloud Air 上でも提供します。また、https のオフロードをサポートすることで、同じサーバリソースでより多くのユーザに Web サービスを提供することができます。さらに、負荷分散の対象を VMware vCloud Air のオブジェクト ベースで指定することができるため、運用もシンプルになります。

上記の新機能のほかに、ハイブリッド クラウドの視点から見ると、Advanced Networking Services には大きなメリットが 1 つあります。それは、オンプレミスと同じネットワーク仮想化プラットフォームである VMware NSX をクラウド上で利用することにより、オンプレミスとパブリック クラウドの間でセキュリティ ポリシーの互換性が生まれることです。これにより、ハイブリッド クラウド全体でマイクロ セグメンテーションのポリシーを管理できるようになり、最新のセキュリティの脅威に対応しやすくなると同時に、運用負荷を軽減できるようになります。

ーーー

VMworld 2015 前に VMware の最新状況をお伝えするエントリは今回で最後になります。ぜひ来週、VMworld 2015 から発信される新情報にご注目ください。

VMware の OpenStack ディストリビューション「VMware Integrated OpenStack」

VMworld 2015 前に VMware の最新状況をお伝えするエントリ第 2 回です。今回は、VMware の OpenStack ディストリビューションである「VMware Integrated OpenStack」を取り上げます。

VMware Integrated OpenStack は、昨年の VMworld でベータが発表され、今年の 3 月に正式リリースとなりました。vSphere の Enterprise Plus エディションのサポート契約が有効の方は、VMware Integrated OpenStack を無償でダウンロードできる権利があります。

VMware がなぜ OpenStackのディストリビューションを出すのか?

私自身、OpenStack に関して、よく受ける質問が 2 つあります。1 点目は「OpenStack は VMware を置き換えるのか?」という質問です。

端的に言うと、これは誤解です。OpenStack には、ハイパーバイザーやストレージ/ネットワーク仮想化プラットフォームは含まれていません。そのため、VMware vSphere や Virtual SAN、NSX などを、OpenStack と組み合わせて利用できます。性能や高可用性などの機能面、そして実績の両面で VMware 製品を利用するメリットがあります。

Slide11

もう 1 つの質問は「なぜ VMware が OpenStack ディストリビューションを提供するのか?」という点です。

その回答は、VMware なら「vSphere の既存顧客が OpenStack 環境を容易に構築できる」ソリューションを提供できるからです。最近、vSphere で仮想基盤を構築済みの企業が、開発者に対して OpenStack API を提供したいというニーズが出てきています。そのような場合に、VMware Integrated OpenStack を使えば、vSphere の仮想基盤を用いて、本番環境に対応した OpenStack 環境を容易に構築できます。

vSphere の既存顧客が OpenStack 環境を容易に構築できる理由とは?

それではなぜ VMware Integrated OpenStack (以下 VIO) なら、OpenStack 環境を容易に構築できるのでしょうか?理由は 2 つあります。

Slide2

1 つ目の理由は「VIO の展開が非常にシンプルだから」です。VIO は、それぞれのコンポーネントが仮想アプライアンスにパッケージされ、それらがまとめられて単一のファイルとして提供されます。そのため、VIO のファイルをダウンロードして、vSphere Web Client から既存の仮想基盤に展開するだけで展開作業が済みます。OpenStack の各コンポーネントは VMware のドライバを含んだ状態で提供されています。

2 つ目の理由は「VIO が、VMware によって完全に検証済みのアーキテクチャとして提供されるため」です。VMware は、VMware 製品だけでなく OpenStack の部分も含めてワンストップ サポートを提供します。 (注意: VIO のサポートはオプションでの提供となり、 別途ご購入いただく必要があります)

なお、これは VIO に限らない点ですが、vRealize Operations のような VMware の管理製品が OpenStack に対応しています。そのため、既存の vSphere の仮想基盤と OpenStack 環境を単一のツールで管理することもできます。

Slide3

VMware は、シンプルで使いやすい、OpenStack の専門家がいなくても運用できるようなソリューションを目指して製品開発を続けています。VIO の機能の詳細を知りたい方は、ぜひこちらのデータシートをご覧ください。
https://www.vmware.com/files/jp/pdf/openstack/VMware-Integrated-OpenStack-Datasheet.pdf

VMware Integrated OpenStack のコンポーネント

VIO の構成を少し紹介しましょう。VIO は、主に 2 種類のビルディング ブロックから成ります。その 1 つは VIO Manager、もう 1 つは OpenStack コンポーネントです。これらが合わせて 1 つの OVA ファイルとしてパッケージングされており、その中に、VIO Manager と、各種 OpenStack コンポーネントのためのテンプレートとして使われる Ubuntu Linux 仮想マシンが含まれています。

VIO の OpenStack サービスは高可用性を備える形でデプロイされます。具体的なコンポーネントの構成は下記の通りです。

  • OpenStack コントローラ: Horizon Dashboard、Nova、Keystone、Heat、Glance、Cinder サービスをアクティブ・アクティブ クラスタで動作させるための 2 台の仮想マシン
  • Memchached クラスタ
  • RabbitMQ クラスタ: OpenStack サービス間でのメッセージングサービスとして使用
  • ロードバランサー: インターナルおよびパブリックの仮想 IP アドレスを持つアクティブ・アクティブ クラスタ
  • Nova コンピューティング マシン
  • データベース クラスタ: OpenStack メタデータを格納する 3 ノード MariaDB Galera クラスタ
  • オブジェクト ストレージ: Swift サービス
  • DHCP ノード(NSX を用いない場合に必要)

構成などの詳細は、VIO のドキュメントに記載されています。ご興味ある方は、ぜひ参照いただけると幸いです。
https://www.vmware.com/support/pubs/integrated-openstack-pubs.html

 

VMworld 2015 Hands-on Labs カタログ一覧

こんにちは、 VMware の仁平です。

毎年恒例のビッグイベント、 VMworld 2015 US が 8 月 30 日から 9 月 3 日の 5 日間にかけて、米国サンフランシスコで開催されます!

今年も、多くの最新情報が発表される模様です!

お客様の多くが首を長くして、今か今かと情報を待ち焦がれているかと思います。

そこで、本日は、開催間近に迫った VMworld 2015 US に先駆けて、VMworld 2015 Hands-on Labs のカタログ一覧を一足先に一挙に公開します!

 

HOL-LIST-thumbnail

カタログ一覧のダウンロードはこちらから

* VMworld ではカタログ内のマニュアルは英語です。予めご了承ください。

 

注目カタログはこちら!!

◼︎ SDDC 系

SPL-CHG-1695 vSphere 6 Challenge Lab

このラボでは、VMware vSphere® 6 環境での トラブルシュートに挑戦して頂きます。 ホストが切断状態になったり、仮想マシンが起動 できない。何故か仮想マシンのパフォーマンスが 悪いなどなど、vSphere 上での運用と性能の一般 的なトラブル解決に挑戦して頂きます。 是非、トライしてみてください。

SPL-SDC-1610 Virtualization 101: vSphere with Operations Management 6

このラボでは、vSphere with Operations Management の特徴と機能をご紹介します。 vSphere,vCenter,vRealize Operations Manager が 含まれており、これから vSphere を学ぶ方に最適なラボです。

SPL-SDC-1630 Cloud-Native Apps: Bringing Microservices and Containers to the Software-Defined Data Center 

このラボでは、 SDDC でコンテナやコードバージョン管理、分散コンピューティングとマイクロサービス開発の主要コンセプトを取り上げます。クラウドネイティブ・アプリケーション開発に移行するにあたり、ビジネスがどのようにして、安全に、そして確実にアプリケーション開発を加速させ、ビジネスアジリティを高めるためにコンテナを活用できるか実演します。

 

◼︎ モバイル 系

SPL-MBL-1651 Advanced Technical Concepts of Horizon 6 from A to Z

このラボでは、Horizon 6 の新機能を深く知る事ができます。
特に VMware App Volumes™ による AppStack 作成と配信、VMware User Environment Manager™ のセットアップと設定方法に注力します。

SPL-MBL-1656 Horizon Air – Explore and Manage

このラボでは、Daas である VMware Horizon® Air™ を紹介します。
ラボを通して、いかに Daas が、一般的な仮想デ スクトップより優れいているか、また 業界をリー ドする VMware Horizon Air と密接に機能して いるかを学べます。

SPL-MBL-1657 AirWatch – Introduction to Basic MDM and Console Customization

このラボでは、AirWatch® Mobile Device Management のセットアップと管理方法を学びます。 ラボのモジュールは、管理対象をiOS、Android、 Mac OSX からお好きな物を選択できます。好きなモジュールだけを実施してもかまいませ ん。もちろん、初めから通しで全てのモジュールを実施頂くことで、AirWatch の機能の良さをご理 解頂けます。

 

◼︎ ハイブリッド クラウド 系

SPL-HBD-1681 VMware vCloud Air – Jump Start for vSphere Admins

このラボでは、VMware vCloud® Air™ を使って、オンプレミスの仮想マシンをパブリッククラウドへ移行したり、新しい仮想マシンを直接パブ リッククラウドに作ります。仮想マシンやビジネスクリティカルなワークロードをオンプレミスからパブリッククラウドへ行ったり来たりと、お好きな場所に、簡単に、セキュアに、そしてvSphere が持っているすばらしい機能もあわせて、配置さ せることができます。

SPL-HBD-1682 VMware vCloud Air – Networking & Security

このラボでは、最新の VMware vCloud Air Advanced Networking Services を学習します。 含まれる内容:きめ細かなネットワークセキュリティグループ、マイクロセグメンテーションによる仮想マシン単位の隔離、ダイナミックルーティング、SSL VPN、 L2 VPN、Hybrid Cloud Manager を使った vCloud Air への容易なワークロー ト移行やライブマイグレーション。

VMware vCloud Air Advanced Networking Services は、パブリッククラウドにおいて、前例 のないセキュリテイと隔離性をネットワーク仮想化ソリューションの VMware NSX™ により実現 しています。

SPL-HBD-1684 VMware vCloud Air Disaster Recovery

このラボでは、災害対策ソリューションである、 VMware vCloud Air Disaster Recovery の活用方法を学習できます。VMware vSphere Web Client だけで、フェー ルオーバ、フェールバック、ポイント・イン・タ イム・リカバリ、VMware vRealize™ Orchestrator™ を用いて自動化を図ることができます。

 

尚、当日会場にお越しいただくと、このカタログ一覧を特別にプレゼント致します。

数に限りがございますので、お早めにお越しくださいませ。

スタッフ一同、心よりお待ちしております!

VMware のクラウド ネイティブ アプリ関連の 4 つのテクノロジー

いよいよ、8 月 30 日より米サンフランシスコで開催される VMworld 2015。このイベントでの新情報を楽しんでいただくために、最近発表した新しいテクノロジーを何回かのエントリでまとめて説明します。

最初のエントリでは、VMware が取り組む最新領域の 1 つである「クラウド ネイティブ アプリケーション」関連のテクノロジーについて取り上げます。

VMware がクラウド ネイティブ アプリケーションの領域で目指していること

近年、クラウド上で開発されるウェブやモバイル系を中心に、アプリケーションの作り方/運用の仕方が変わってきています。継続的デプロイと呼ばれるように個々のサービスが頻繁に更新され、DevOps という新しい開発/運用のやり方や、コンテナなど新しい仮想化の技術が注目され始めています。

既存のアプリケーションの動作環境として VMware 製品は広く使われていますが、この新しいクラウド ネイティブ アプリケーションの領域において、VMware は何ができるのでしょうか?

VMware が目指すのは「One Cloud, Any Application」、すなわち、単一のハイブリッド クラウド プラットフォーム上で、このような新しいタイプのアプリケーションと既存のアプリケーションの両方を稼働させ、それらを一元管理できる環境を提供していくことです。

Slide03

4 つの新しいテクノロジーの発表

この実現に向け、ここ数ヶ月の間に、VMware はこの領域において 4 つのテクニカルプレビューを発表してきました。まず、2015 年 4 月に Project Photon と Project Lightwave、そして 2015 年 6 月に Project Bonneville と VMware AppCatalyst を発表しています。以下、これらの概要を説明しましょう。

Project Photon

Photon

  • VMware が開発した、コンテナに最適化された軽量 Linux OS です。そのサイズは約 300MB と小さく抑えられています。vSphere / vCloud Air など VMware のプラットフォーム上で動かすことができ、将来的には VMware が提供する他の製品・サービスとの統合管理機能が入ってくる予定です。
  • Docker、rkt、Garden という 3 つのコンテナテクノロジーをサポートしており、ユーザは自社のニーズに最適なコンテナ ソリューションを選ぶことができます。
  • vSphere / vCloud Air は、CoreOS などのコンテナに最適化された他の Linux ディストリビューションもサポートしています。ただ、顧客がコンテナにおいて開発系から本番系まで一貫性のある管理を望んだときに、私たちは管理機能をより強化する必要があると感じ、Photon を開発しました。
  • Photon は GitHub 上から入手することができます。 http://vmware.github.io/photon
  • また、Vagrant イメージも提供されています。 https://atlas.hashicorp.com/vmware/boxes/photon

Project Lightwave

Lightwave

  • コンテナ環境において、ID/アクセス管理を行うためのソフトウェアです。多数のマイクロサービスが動作するクラウドネイティブアプリケーション環境では、ID/アクセス管理が重要になってきます。Lightwave は、この分野に対する、業界として初めての取り組みになります。
  • コンテナ環境の安全性を高めるために、シングルサインオン(SSO)、認証、およびパスワード/トークン/証明書を利用した権限管理などの機能を、一元化されたソリューションとして提供します。マルチテナントにも対応しています。
  • Kerberos、LDAP v3、SAML、X.509、WS-Trust など、複数のオープンスタンダードに対応しており、またデータセンタで利用されるそのほかの標準化されたテクノロジーにも対応できるよう設計されています。
  • Lightwave は GitHub 上から入手することができます。 https://vmware.github.io/lightwave

Project Bonneville

Slide1

  • Bonneville は、vSphere 6.0 の新機能である Instant Clone と Project Photon を組み合わせて利用することで、「仮想マシンごとに 1 つのコンテナ」を利用できるレベルにまで仮想マシンを軽量化するためのテクノロジーです。最小限のオーバヘッドで、コンテナを VM 上で隔離しながら起動できます。
  • Bonneville を通じて、安全かつ隔離されたコンテナが実現されるとともに、コンテナの挙動や場所などの可視性が vCenter Server などの VMware の管理ツールを通して提供されます。
  • Instant Clone によって作られた VM は瞬時に起動され、作成の時点では物理的なメモリを消費しません。「仮想マシンごとに 1 つのコンテナ」を最小のオーバヘッドで実現でき、それでいて管理性や隔離といった VM の特性は保たれています。
  • Bonneville は、今年後半にプライベートベータプログラムで利用可能になる予定です。

VMware AppCatalyst

  • 多くの開発者が、クラウドネイティブアプリケーションの開発をノート PC 上で行っており、そのためにノート PC 用のハイパーバイザーを利用しています。
  • VMware が新たに提供する開発者向けのハイパーバイザーである VMware AppCatalyst は、VMware Fusion のハイパーバイザー技術を活用し、そこに Project Photon を加えています。AppCatalyst では、Fusion の GUI が削除され、その代わりに開発者が利用しやすい API と CLI のインタフェースが加えられています。今後、ネットワーク/ストレージ仮想化の機能も加えられていく予定です。
  • AppCatalyst は現在無償で利用することができるテクニカルプレビューで、コミュニティサイトからダウンロードすることができます。 https://communities.vmware.com/community/vmtn/devops/vmware-appcatalyst

One Cloud, Any Application を目指した、VMware が開発する新しいクラウドネイティブアプリケーションのテクノロジーに、ぜひ今後もご注目ください!

【新サービス提供開始】従量課金型サービス「vCloud Air VPC OnDemand」を日本ロケーションで利用可能に

VMware のパブリッククラウドサービスである vCloud Air が正式リリースになってから 8 ヶ月が経過し、ビジネスも順調に拡大してきました。

このたび、vCloud Air の新サービスが日本ロケーションで利用可能になりましたので、そちらを紹介したいと思います。

分単位の従量課金型サービス – VPC OnDemand

新サービスの名称は vCloud Air Virtual Private Cloud OnDemand(以下 VPC OnDemand)で、vCloud Air において初めて提供される従量課金型のサービスです(vCloud Air の他のサービスは、リソースプールを期間契約する形になっています)。

VPC OnDemand では、使ったリソースを分単位で課金する形になっており、前払いもしくは事前のコミットメントは全く必要ありません。そのため、使いたいときに使いたいだけ、より機動的に利用することができます。

Slide06

vSphere 環境との高い互換性とオンデマンド性を両立

このサービスの新しいところは、vCloud Air の長所である「vSphere 環境との高い互換性」を引き続き備えつつ、高いオンデマンド性を追加で兼ね備えるという点です。

VPC OnDemand では、需要の変動に合わせてキャパシティを自由に拡張または縮小できます。そのため、リソースを必要以上に購入する、またはリソースを十分に活用できない、などの心配をする必要がありません。また、VPC OnDemand では、仮想マシン (VM) を世界各地のどのロケーションにデプロイするかを自由に選ぶことができます。

負荷の安定したワークロードを従来のリソースプール型に、そして、テスト・開発や次世代型アプリケーションなどの負荷の変動が安定しないワークロードを VPC OnDemand に、といった使い分けを行うことで、同一のハイブリッド クラウド プラットフォーム上で幅広い要件に対応していくことができます。

クレジットカードで申込み、39,000 円分までは無償で利用可能!

VPC OnDemand はこちらのページから数分でサインアップできます。クレジットカード情報を登録するだけで、ウェブサイト経由で簡単に申込みすることができます。vCloud Air をまずテストしてみたいという方には最も適したサービスでしょう。

VPC OnDemand の料金は、利用した VM のリソースの費用を合計し、月ごとに支払いを行います。料金はこちらのツールを使って簡単にシミュレーションできます。VPC OnDemand では、よくある他のクラウドのサービスのように規定の VM サイズから選ぶのではなく、VM のサイズを顧客の要件に合わせて自由に変更できるようになっています。

スクリーンショット 2015-07-27 16.06.43

もちろん、クレジットカードではなく注文書での支払いを好まれる法人の方々のために、VPC OnDemand にはクレジットカード以外の支払い方法も用意されています。サブスクリプション購入プログラム(SPP: Subscription Purchasing Program)を通して、事前にある程度の金額を注文書ベースで購入し、そこから VPC OnDemand の支払いを行うことができます。SPP の詳細はこちらのページでご覧ください。

現在、新たに登録をされた方向けに、vCloud Air のビジネスの成長に感謝するという意味で「サンキュー キャンペーン」を提供中で、39,000 円までは無償で使えるようになっています。vCloud Air に興味がある方は、ぜひお試しください!

Slide11

vSphere Replicationの動作概要

皆さんこんにちは。VMware高木です。

 

今回はVMware vCloud Air Disaster Recoveryでも利用されている、vSphere Replicationの動作概要についてお話します。

 

vSphere Replicationは仮想マシンの災害対策でも使用される、ホストベースのレプリケーション機能です。簡単に申し上げますと、定期的に仮想マシンの更新データを遠隔地に送る機能ですが、vSphere Replicationってそもそも簡単に設定出来るの?とか、こんな時はどんな動作になるの?という様な質問を良く頂きますので、ご質問頂いた内容に沿ってvSphere Replicationの動作を説明したいと思います。構成としては稼働サイトのvSphereから、DRサイトのvSphereに仮想マシンを保護する想定です。

 

 

Q1.『vSphere Replicationって簡単に使えるの?』

 

A1.『はい。簡単に使えます。しかもvSphereのEssentials Plus以上のライセンスをお持ちであれば、直ぐに始められます。』ktakagi003

『まずは、vSphere Replicationの仮想アプライアンスをVMwareのHPからダウンロードして、vCenterからデプロイを実行します。デプロイ時に指定する内容も以下のみです。』

 

・    ダウンロードしたファイルを指定

・    仮想アプライアンスの名前とデータセンターを指定

・    デプロイ先のリソースを指定

・    デプロイ先のデータストアを指定

・    デプロイ先のネットワークを指定

・    仮想アプライアンスのIPアドレスとパスワードを指定

 

004

 

005

 

006

007

008

009

『デプロイ後、再度vCenterにログインし直して頂ければ、既にvCenterから使える状態になっています。DRサイト側にも同じ様にvSphere Replicationの仮想アプライアンスをデプロイすれば、後は実際に保護対象の仮想マシンを右クリックし、vSphere Replicationの設定をするだけです。』

010

『vSphere Replicationの設定も簡単です。主に以下を設定すれば直ぐに仮想マシンのレプリケーションが開始します。』

・    (DR先となる)ターゲットサイト

・    (保存先となる)データストア

・    RPO(目標復旧時点)

011

012

ktakagi013

 

 

Q2.『サーバのメンテナンスがあるんだけど、vSphere Replicationが動いたままで大丈夫かなぁ。サーバ再起動後に仮想マシンのフル同期が走ったりしないか不安です。』

 

A2.『大丈夫です。仮想マシンのフル同期は行われません。』

014

 

『通常、保護対象の仮想マシンを構成する仮想ディスクへ更新が入った際、更新されるブロックアドレスをメモリに保存する事で、指定されたRPO(目標復旧時点)ごとに、更新データを作り出して送る動作となります。』

015

 

『vSphere 自体が再起動される場合にはメモリに更新されるブロックアドレスを保存する事が出来なくなります。そのため、保護対象の仮想マシンのホームディレクトリに作られるPSF(パーシステントステートファイル)にメモリ上のブロックアドレスを保存する事により、vSphere起動後も同期処理を行う事なく、そのままvSphere Replicationが開始されます。』

 

 

Q3.『スイッチの入替えがあってネットワークが暫く切断になっちゃうんだけど、仮想マシンのフル同期って走る?そもそもフル同期ってどんな時に走るんだろう?』

 

A3.『まず、通常運用時にフル同期は殆ど行われません。vMotionやStorage vMotionで対象の仮想マシンが移動しても、仮想マシンを停止してもフル同期は発生しません。但し、レプリケーション中に突然ネットワークが切れてしまった場合や、突然vSphere自体が停止してしまった等、PSFが不整合な状態の場合、フル同期が必要となります。』

016

 

『ただ、フル同期が必要となった場合も、同期対象の仮想マシンをブロックごとに比較し、差分が確認できたブロックのみを転送します。帯域を圧迫しませんので安心して下さい。』

 

 

Q4.『vSphere Replicationで仮想マシンを保護したいんだけど、実際に仮想マシンをDRサイト側でリカバリする時って大丈夫かなぁ。そもそも仮想マシンの静止点ってどんな感じで取られるの?』

 

A4.『まず、vSphere Replicationでは仮想マシンを構成する仮想ディスクとしての静止点が取られます。また、仮想マシンを構成する仮想ディスク間の整合性も保たれます。尚、仮想マシンがWindows OSの場合は、VSSと連携する事により、保護対象の仮想マシン上のOSとしての静止点を取得する事も出来ます。』

017

 

『vSphere Replication設定のオプションでVSSを使用するかどうか選択出来ます。』

 

 

Q5.『vSphere Replicationって他のバックアップ製品と一緒に使えるの?同じようにvSphereのライセンスで使えるVDPとの併用はどうだろう?』

 

A5.『併用は出来ますが、1点だけ注意が必要です。それは、vSphere ReplicationのVSS連携で、保護対象の仮想マシンでOS上の静止点を取る場合です。』

ktakagi018

 

『ご存知の方もいらっしゃると思いますが、VDPやvSphere上の仮想マシンを対象とした一般的なエージェントレスのバックアップ製品は、vSphere Replicationと同じ様に更新ブロックアドレスを覚えておくためにCBT(Changed Block Tracking)という機能が使われますが、このCBTではvSphereのスナップショット機能が利用されます。』

『vSphere Replicationでは通常、このスナップショット機能は使いませんが、VSS連携の時のみ利用されます。VDP等のバックアップ製品で発行されるスナップショットの作成と、vSphere ReplicationのVSS連携で発行されるスナップショット作成が同時に発生してしまった場合、バックアップが失敗する可能性があります。』

『そのため、vSphere ReplicationとVDP等のバックアップ製品と併用する場合には、1.VSS連携を使わない、2.RPOを可能な限り長く設定する、どちらかを選択して下さい。』

 

 

Q6.『とりあえず、RPOを30分に指定したんだけど不安。30分以内に更新データが送りきれない場合って、どんな動作になるの?』

 

A6.『まず、RPOについて説明させて頂きます。RPOは、リカバリポイントオブジェクトの略で、日本語では目標復旧時点等と訳されます。簡単に申し上げますと、どのくらい前の状態の仮想マシンが保護できていれば良いか、という事です。』

019

 

『仮にRPOを30分に指定した場合、vSphere Replicationのレプリケーションサイクル内で、常に30分前の状態の仮想マシンが保護出来ていれば良い、という事になります。但し、30分以内にレプリケーションが完了すれば良いかと言うと、そうではありません。それではどのような仕様になっているか見て行きましょう。』

020

 

『12:00にレプリケーションが開始し、12:20にレプリケーションが完了したとしましょう。12:20には12:00の時点の仮想マシンが保護出来ておりますので、特に問題が無い様に見えます。』

021

 

『それでは12:15に、稼働サイトに災害が発生したらどうなるでしょうか?当然、20分かかる予定だったレプリケーションは完了しませんので、12:00の時点の仮想マシンはありません。この時点で保護出来ていると推測されるのは、1サイクル前の11:30の時点の仮想マシンなので、RPOが守られないという事になります。』

『それではRPOを守るためには何分間で完了する必要があるのでしょうか?』

ktakagi022

 

『それはRPOで指定した時間の半分の時間以内の完了です。今回はRPOが30分ですので、15分以内の完了がRPOを守る条件になります。12:00にレプリケーションを開始し、10分で完了した場合、次のレプリケーションも12:30までには完了します。この場合においては、どの時点で稼働サイトに障害が発生しても、RPOが守られる、という形になります。』

『RPOの半分の時間以内にレプリケーションが完了しない場合、RPO違反となりますが、vSphere Replicationはそのまま動作し続けます。RPO違反が発生したら、レプリケーションを停止する、という事はありません。但し、RPO違反となり続ける場合は、RPOを長めに変更する(〜1,440分)等を検討下さい。』

皆さん、如何だったでしょうか。vSphere Replicationは非常にシンプルな機能ですが、仮想マシンとしての静止点をきちんと保持します。しかも、vSphereのEssentialsを除く全てのエディション(Essentials Plus〜Enterprise Plus)でそのままご利用頂けます。災害対策用の製品を別途購入する必要はありません。

仮想マシンの保護として世界中で使用されているvSphere Replication、是非、仮想マシンの災害対策としてご利用頂ければと思います。

ネットワーク仮想化をネットワークの基本から理解する 〜第4回:分散ファイアウォール -Layer4 の世界

「ネットワーク仮想化」をセールスやマーケティングではなく、エンジニアとしてアーキテクチャを正しく理解することが、今回のブログシリーズ「ネットワーク仮想化をネットワークの基本から理解する」のテーマです。最終回「第4回:分散ファイアウォール -Layer4 の世界」では、ネットワーク仮想化環境でのセキュリティを見ていきます。

■ 目次
・はじめに
・物理ネットワーク環境におけるセキュリティ
・ネットワーク仮想化環境におけるセキュリティ
・物理ネットワーク環境とネットワーク仮想化環境の比較
・補足情報

 

■ はじめに
仮想化環境でのセキュリティを検討するとき、適用するポイントには、仮想マシン、ハイパーバイザ、物理ネットワークと3つのポイントが考えられます。この中で管理性とセキュリティの粒度を考えたとき、最も適したポイントはどこになるでしょうか。

NWV04-01

図:セキュリティを適用するポイント

一般的に、よりサービスに近い方が粒度の細かいセキュリティポリシーの適用が可能になります。仮想マシンは最もサービスに近いポイントとなりますが、個々の仮想マシンにセキュリティを適用していくのは運用管理上のオーバヘッドが大きいことに加え、ゲストOSが乗っ取られた場合はセキュリティ機能そのものを停止されてしまう可能性があります。

一方で物理ネットワークではどうでしょうか。物理ネットワークでのセキュリティは、L2 のネットワークセグメント境界を通るトラフィックにかけることになります。この方式では、セキュリティの適用ポイントが仮想マシンから離れることで、同一L2 ネットワークセグメント内における仮想マシン間の通信制御は困難です。

パイパーバイザでセキュリティを適用することで、従来のL2 ネットワークセグメント境界にとらわれない柔軟なセキュリティの実装が可能になります。しかしながら個々のハイパーバイザにセキュリティを適用することで運用管理上のオーバヘッドが大きくなってしまっては意味がありません。

VMware NSX の提供する分散ファイアウォール(FW)は、ハイパーバイザ上でセキュリティを提供します。分散FW の設定はNSX Manager から行うことができます。従来のFW と同じように送信元、宛先、サービスと、アクションを指定することができます。各項目は、vCenter のオブジェクト単位(仮想マシン、クラスタ、リソースプール等)で指定することが可能で、従来のIPアドレス単位の管理と比べた際に運用管理の負担を大きく軽減することができます。

NWV04-02

また、GUIからだけではなくAPIを介した設定が可能となり、クラウドマネジメントプラットフォームと連携させることで設定作業そのものの自動化が可能になります。例えば、仮想マシンを展開すると同時にセキュリティポリシーを適用するといった運用が可能になります。

分散FW は、第2回の論理スイッチ(VXLAN)、第3回の分散ルーティングと同様にハイパーバイザを活用することで、仮想化環境に最適なセキュリティを提供します。前回と同様に、物理の世界との比較を「テーブル」の観点から見ていきたいと思います。

 

■ 物理ネットワーク環境におけるセキュリティ
物理ネットワーク環境でのセキュリティは、FW やL3スイッチ(ルータ) といった物理ネットワーク機器に実装します。FW は外部ネットワークとの境界に設置され、フィルタリングのルールを記載したフィルタリングテーブルを持っています。また、L3スイッチやルータの セキュリティ機能として、ACL(Access Control List)があります。

NWV04-03

L3スイッチでは、専用のコマンドラインからACL の設定を行い、設定の確認もコマンドラインから実施します。例えばL3スイッチのACL を確認するには、以下のコマンドを実施します。

# show access-list
 permit ip	host “送信元IPアドレス”	host “宛先IPアドレス”
 permit tcp	host “送信元IPアドレス”	host “宛先IPアドレス”	eq “ポート番号”
 permit udp	host “送信元IPアドレス”	“宛先ネットワークアドレス”	eq “ポート番号”
 permit icmp 	any any

出力から送信元、送信先のアドレス、及びプロトコルタイプを指定したテーブルを確認できます。このフィルタリングテーブルにより、L3 スイッチを経由するトラフィックに対してセキュリティをかけることが可能になります。ACL はステート情報を管理しない、ステートレスなセキュリティ機能となるため、フィルタリング情報は双方向の通信に対して明記します。

一方、FW の提供するステートフルなセキュリティ機能では、フィルタリングテーブルとは別に、通信のフロー情報を管理するためのステートテーブルを持ちます。通信が発生した際にステートテーブルがダイナミックに作成されます。

例えばTCP ステートテーブルでは、送信元IPアドレス、ポート番号、宛先IPアドレス、ポート番号、TCPステート情報、タイムアウト値等が含まれます。この情報を基に、対応する戻り方向の通信を自動的に許可し、適合しない不正な通信をブロックすることができます。

フィルタリング及びステート管理の考え方 はネットワーク仮想化環境になっても変わりませんが、ネットワーク仮想化環境では物理ネットワーク機器の持つセキュリティ機能を、分散FW としてハイパーバイザに実装することができます。分散FW のアーキテクチャについて、「テーブル」に注目する形でこの後見ていきます。

 

■ ネットワーク仮想化環境におけるセキュリティ
分散FW は、L2 – L4レベルのステートフルなFW 機能をハイパーバイザで提供します。個々のハイパーバイザ内でセキュリティ機能を提供することで、処理を分散して行うことのできるスケールアウト型のアーキテクチャになります。

NWV04-04

分散FW も、従来の物理環境のセキュリティ製品と同様に内部にフィルタリングテーブル(ルールテーブル)を持っています。フィルタは、仮想マシンの仮想NICとハイパーバイザの間にあるdvfilterと呼ばれるポイントに適用されます。これにより、L2 ネットワーク境界にとらわれない粒度の細かいセキュリティの実装(マイクロセグメンテーション)が可能になります。

NWV04-05

ハイパーバイザ上で、dvfilterに適用されているフィルタリングテーブルを確認することが出来ます。ESXi ホストにログインし、仮想マシン(web-sv-01a)に適用されているフィルタリング情報を確認します。

# summarize-dvfilter

# summarize-dvfilter
world 145244 vmm0:web-sv-01a vcUuid:'50 26 c7 cd b6 f3 f4 bc-e5 33 3d 4b 25 5c 62 77'
 port 50331662 web-sv-01a.eth0
  vNic slot 2
   name: nic-145244-eth0-vmware-sfw.2
   agentName: vmware-sfw
   state: IOChain Attached
   vmState: Detached
   failurePolicy: failClosed
   slowPathID: none
   filter source: Dynamic Filter Creation
  vNic slot 1
   name: nic-145244-eth0-dvfilter-generic-vmware-swsec.1
   agentName: dvfilter-generic-vmware-swsec
   state: IOChain Attached
   vmState: Detached
   failurePolicy: failClosed
   slowPathID: none
   filter source: Alternate Opaque Channel

上記出力から、仮想マシン(web-sv-01a)に対応したフィルタ(nic-145244-eth0-vmware-sfw.2)を確認し、仮想マシンに適用されているフィルタリングテーブル(ルールテーブル)を下記コマンドで確認します。

# vsipioctl getrules -f フィルタ名

# vsipioctl getrules -f nic-145244-eth0-vmware-sfw.2
ruleset domain-c25 {
  # Filter rules
  rule 1006 at 1 inout protocol tcp from addrset ip-vm-33 to addrset ip-vm-36 port 22 accept with log;
  rule 1005 at 2 inout protocol any from any to addrset ip-ipset-2 accept;
  rule 1004 at 3 inout protocol ipv6-icmp icmptype 135 from any to any accept;
  rule 1004 at 4 inout protocol ipv6-icmp icmptype 136 from any to any accept;
  rule 1003 at 5 inout protocol udp from any to any port 67 accept;
  rule 1003 at 6 inout protocol udp from any to any port 68 accept;
  rule 1002 at 7 inout protocol any from any to any reject with log;
}

ruleset domain-c25_L2 {
  # Filter rules
  rule 1001 at 1 inout ethertype any from any to any accept;
}

分散FW は、vCenter のオブジェクト単位(仮想マシン、クラスタ、リソースプール等)で設定することができます。オブジェクトに含まれる仮想マシンは、仮想マシンにインストールされたVMware Tools によりIP アドレスに変換して適用されます。オブジェクトとIPアドレスの対応は下記で確認ができます。なお、オブジェクト名(ip-vm-33 等)はvCenter のMoRef(Managed Object Reference)に対応しています。

# vsipioctl getaddrsets -f フィルタ名

# vsipioctl getaddrsets -f nic-145244-eth0-vmware-sfw.2
addrset ip-ipset-2 {
ip 192.168.110.10,
}
addrset ip-vm-33 {
ip 172.16.10.12,
}
addrset ip-vm-36 {
ip 172.16.10.11,
}

また、分散FW はフロー情報を管理するステートフルなファイアウォール機能を提供します。ステート情報は、ステートテーブル(コネクショントラッカーテーブル)で管理されています。コネクショントラッカーテーブルを表示させる際はFlow Monitoring を有効にします。下記の例では、SSHを許可するルールに対応したステート情報が管理されていることが分かります。

# vsipioctl getflows -f フィルタ名

# vsipioctl getflows -f nic-145244-eth0-vmware-sfw.2
Count retrieved from kernel active(L3,L4)=3, active(L2)+inactive(L3,L4)=0, drop(L2,L3,L4)=0
558a796d00000000 Active tcp 0800 1 1006 0 0  172.16.10.12:Unknown(44194) 172.16.10.11:ssh(22) 2413 EST 3017 2957 19 18

テーブル情報は、仮想マシンがvMotion で異なるESXi ホスト上に移動した際も仮想マシンに追従して適用されます。これによりvMotion 後もサービスを継続することが可能です。

 

■ 物理ネットワーク環境とネットワーク仮想化環境の比較
物理ネットワーク環境では、フィルタリングテーブルは物理ネットワーク機器が持ち、単一のポイントでフィルタリングの処理を実施します(集中処理)。また、複数のポイントでセキュリティを適用するような構成では、個々の物理ネットワーク機器に対して設定作業を行うことになります(分散管理)。

NWV04-06

分散FW は仮想化環境のセキュリティを、適切なポイントで、運用管理性を損なわずに実現しています。各テーブルの情報を確認してみると、従来の物理ネットワーク環境で物理ネットワーク機器が持っているのと同等の情報をハイパーバイザの中で管理していることが分かります。


ポイント1 ハイパーバイザでテーブル情報を持つことで、ネットワークセグメント境界にとらわれない粒度の細かいセキュリティを実装できる(マイクロセグメンテーションの実装)

また、サーバが増えるのに比例して処理するポイントも増えるスケールアウト型のアーキテクチャになります。


ポイント2 ホストの増加に比例して処理するポイントが増える、拡張性のあるスケールアウト型のアーキテクチャを取ることができる(データプレーンにおける分散処理)

分散FW 環境のセットアップは、NSX Manager を介して、GUI もしくはAPI 経由で簡単に行うことが出来ます。


ポイント3 NSX Manager から一括して設定管理を行うことで、運用管理性を損なうことなく容易に実装できる(マネジメントプレーンにおける集中管理)

ネットワーク仮想化環境における分散FW は、分散処理、集中管理のアプローチをとることで、運用管理性を維持しつつ、ネットワークセグメント境界にとらわれない粒度の細かいセキュリティ(マイクロセグメンテーション)を実装することを可能にしています。

ネットワークサービスは、トラフィックのフローと、フローを制御する「テーブル」から成り立ちます。この「テーブル」にフォーカスして見ていくと、物理ネットワーク環境で管理していたテーブルと同じ情報が、ネットワーク仮想化環境では異なるレイヤー(ハイパーバイザ)で管理されていることが分かります。ハイパーバイザを活用するアプローチは、今までの物理ネットワーク環境でユーザが得られなかった利便性を提供することを可能にします。

シリーズを通して、「ネットワーク仮想化」は既存のテクノロジーと断絶したものではなく、従来の仮想化及びネットワークテクノロジーの延長線上にあることを説明してきました。「ネットワークエンジニア」も「仮想化エンジニア」も、それぞれのバックグラウンドを活かしつつ、「ネットワーク仮想化」を通して新しい分野のスキルを身につけることができます。従来の役割分担にとらわれない、新しい世界に入る一つのきっかけとして本シリーズを活用いただけますと幸いです。

 

■ 補足情報 分散FW を提供するVMware NSX のコンポーネント

分散FW 環境で、NSX を構成する各コンポーネントがどういった役割を果たしているのか解説を行います。

NWV04-07

・NSX Manager(マネジメントプレーン)
NSX を構築する際に最初に展開するコンポーネントで、仮想アプライアンスとして提供されています。NSX Manager は初期構築時に ESXi ホストへのカーネルモジュールのインストールを担います。また、NSX Manager はAPI のエントリポイントとなり、GUI だけでなくAPI 経由でNSX 環境の設定を可能にします。

・NSX コントローラクラスタ(コントロールプレーン)
NSX コントローラクラスタは分散FW に関与しません。分散FW はコントロールプレーンのコンポーネントを使用しません。

・論理ルータコントロールVM(コントロールプレーン)
論理ルータコントロールVM は分散FW に関与しません。分散FW はコントロールプレーンのコンポーネントを使用しません。

・ハイパーバイザ カーネルモジュール(データプレーン)
NSX 環境を構築する際、ホストの準備のステップで各ESXi にインストールされるカーネルモジュールとなります。VIB(vSphere Installation Bundle)ファイルとしてインストールされ、分散FW ではカーネルモジュール(vsip)としてロードされます。カーネルモジュールは、ハイパーバイザ内で分散FW のテーブルの管理とフィルタリング処理を行います。

NWV04-08

ハイパーバイザからは、NSX Manager にコネクションを張り、NSX Manager からフィルタリングテーブル(ルールテーブル)を受け取ります。 NSX Manager へのコネクションはUWA vsfwd(TCP/5671)を介して確立します。

# esxcli network ip connection list | grep 5671
Proto	Local Address		Foreign Address		State		World Name
-----	--------------------	--------------------	-----------	----------
tcp	192.168.210.51:23251	192.168.110.42:5671	ESTABLISHED	vsfwd

上記出力より、ESXi ホストの管理用IP アドレスからNSX Manager に、vsfwd を介して接続していることが確認できます。NSX Manager からは分散FW の設定情報(ルールテーブル)を取得します。

ルールテーブルは、仮想マシンがvMotion で異なるESXi ホスト上に移動した際も仮想マシンに追従して適用されます。これによりvMotion 後もサービスを継続することが可能です。


補足情報:NSX 6.1.2 以前のバージョンで、vMotion 実行後にコネクションが切断される事象が報告されています。オンラインのハンズオン環境(バージョン6.1.1)で動作確認される場合この不具合が該当します。詳細は下記KBを参照ください。

Performing VMware vMotion migration when using VMware NSX for VMware vSphere 6.1.2 and earlier Distributed Firewall causes virtual machines to lose network connectivity for 30 seconds (2096529)

・NSX Edge(データプレーン)
仮想アプライアンスとして提供され、単体で各種ネットワークサービス機能(ロードバランサ、ルーティング、NAT、ファイアウォール、VPN、 DHCP 等)を提供する「スイスのアーミーナイフ」のようなコンポーネントです。従来の物理のネットワーク機器が仮想アプライアンスとして置き換わったイメージです。分散FW 機能には関与せず、アプライアンス単体でFW 機能を提供します。

 

■関連リンク
今回ご紹介した内容をオンラインのハンズオン環境上で確認することができます。コマンドラインの出力はハンズオン環境をベースに作成しています。
http://labs.hol.vmware.com/HOL/
VMware HOL Online
HOL-SDC-1403 – VMware NSX Introduction

NSX の機能全般及び、ネットワーク仮想化環境の設計に興味のあるかたは下記テックペーパーを参照ください。
http://www.vmware.com/files/pdf/products/nsx/vmw-nsx-network-virtualization-design-guide.pdf
VMware® NSX for vSphere (NSX-V) Network Virtualization Design Guide

ネットワーク仮想化をネットワークの基本から理解する
第1回:理解するために必要なことを整理する
第2回:論理スイッチ(VXLAN)–Layer2 の世界
第3回:分散ルーティング –Layer3 の世界
第4回:分散ファイアウォール -Layer4 の世界(本稿)

vSphere 問題解決までのヒント!- 第2回 サポートリクエスト(SR)と情報採取

テクニカルサポートエンジニアのMarieです。

前回はトラブル発生時に役に立つリソースを紹介しました。
今回はサポートリクエスト(SR)と、調査に必要な情報採取についてお話していきます。

第1回 トラブル発生時に役立つ 4 つのリソース
第2回 サポートリクエスト(SR)と情報採取 ←This Post
第3回 応用編

VMware vSphereは、単なるサーバー仮想化ソフトではありません。
仮想化環境の包括的な管理・運用に対応した仮想化基盤であり、いわば仮想的なデータセンターです。
ストレージ、ネットワーク、ハードウェア、OS… 全てと関わりがありますのでトラブルシューティングが難しく感じるかもしれません。
しかし、状況をすばやく切り分け・整理して、必要な情報を揃えることができれば、調査はスムーズに進みます。
今回はそのために押さえていただきたいポイントをお話します。

1. 事象の伝え方

まず「どのような事象を問題だと考えているのか」をサポートエンジニアに伝える必要があります。
これが基本にしてとても難しい…のですが、いくつかのポイントを意識するだけでぐっとわかりやすい説明になります。

例えば以下の説明、とてもぼんやりしていますね。
私がこのSRを担当するとしたら、調査にとりかかる前にかなりのヒアリングが必要だと感じます。

サーバにハングが発生したようです。不具合の事例などありますでしょうか。

これをもう少しわかりやすく、状況が伝わりやすい説明に変えてみたいと思います。
サポートリクエスト発行ガイドという資料の中でテンプレートの使用をおすすめしておりますので、これも活用します。

VMware サポートリクエスト発行ガイド
http://campaign.vmware.com/imgs/apac/jp_dwn/PDF/support-SR_guide.pdf

– [1. ご担当者名]

ヴイエムウェア株式会社 Saito

– [2. サイト・システム名]

検証環境

– [3. 問い合わせ概要]

特定の仮想マシンがハングしました。

– [4. 業務影響]

すでに復旧しているため影響ありません。

– [5. 利用環境]

vCenter Server 5.5U2 Build 2183111
ESXi 5.5U2 Build 1892794 ×1
仮想マシン:Windows Server 2008R2×2, RHEL 6.3×2

– [6. 発生契機/日時/頻度]

6月10日 14:30から14:35頃

– [7. 貴社での切り分け調査内容]

特定の仮想マシン(win1,rh1)がハングしました。※1

6月10日14:30頃、RDP で GuestOS に接続して作業を行っていたのですが画面が動かなくなりました。
監視ツールからの ping にも応答が無かったようで、アラートもあがっていました。※2

事象が発生した仮想マシンの GuestOS は Windows Server と RHEL 各1台ずつで同じデータストア上で稼動しています。
他のデータストアで稼動している仮想マシンについては RDP 接続しておりませんが、監視ツールからのアラートはありませんでした。※3

詳細は不明ですが正午から15時頃までネットワーク機器のメンテナンスが行われていました。※4

14:35頃には自然に復旧し、現在は問題なく動作しております。※5

– [8. サポート調査依頼内容]

メンテナンスの影響と考えておりますが、念のため確認をお願いします。
それ以外に不具合の事例などありましたらお知らせ下さい。

– [9. 送付資料]

vcsupport,vmsupport(VMware-vCenter-support-2015-06-09@19-23-44.zip)
イベントログ(ExportEventsLog_user.csv,ExportEventsLog_system.csv)

※ポイント1
「サーバ」だと ESXi なのか vCenter Server なのか仮想マシンなのかはっきりしませんね。
仮想マシン名も特定できているので具体的に明記しました。

※ポイント2
どのような事象を「ハング」だと言っているのか、どのように確認したのかを説明しました。
今回の場合は「 RDP している時に画面が動かなくなった」ということと「監視ツールからの ping に応答が無かった」ということを「ハング」だと言っています。

※ポイント3
事象が発生している対象と、発生していない対象の違いについてわかることを説明しました。
この情報だけで「GuestOS 依存の問題ではなさそう」「ESXi-データストア間の接続に問題がありそう」ということが推測できます。

※ポイント4
詳細はわからないながらも、トリガーと考えられる情報を共有しました。
データストアが NFS や iSCSI 接続のストレージで構成されていればこのメンテナンスの影響があるかもしれませんね。

※ポイント5
現在の状況を説明しました。
何をしたら直ったのかという情報が、問題箇所を絞り込むヒントになることがあります。
今回は何もしなくても復旧したので「設定や構成の問題というよりは一時的な問題ではないか」ということが推測できますね。

いかがでしょうか。
元々の説明よりも、調査のヒントになる情報が増えたと思います。
文章だと書きづらいという場合は箇条書きでもかまいませんので、なるべくポイントを押さえて整理してみて下さい。

・事象の概要
・事象をどのように確認したか
・事象が発生/復旧したタイミング、事象発生のトリガー
・事象が発生している対象と発生していない対象の違い
・ESXi名、仮想マシン名など
・時系列や作業手順

時系列や作業手順については、説明に加えて時間の見えるスクリーンショットも送付いただけると、とてもわかりやすくて助かります。

2. ログの採取方法

事象を整理することができたら、調査に必要なログを採取します。
情報採取を依頼されてからログを取得したらすでにローテートされていた…ということもありますので、なるべく早めに取得しておくことをおすすめします。
vSphereのトラブルでは基本的に以下のログを取得していただいています。

・ESXiのログバンドル(vmsupport)
・vCenter Server のログバンドル(vcsupport)
・vCenter Serverのイベントログ

色々な採取方法があるのですが、今回は以下の方法について説明します。
ログをエクスポートし、操作している端末のデスクトップに持ってくることがゴールです。

・ESXi、vCenter Serverのログバンドルの採取方法(Web Client経由)
・vCenter Serverのイベントログの採取方法(Web Client経由)
・ESXiのログバンドルの採取方法(SSHクライアント経由)

ESXi、vCenter Serverのログバンドルの採取方法(Web Client経由)

vCenter Server にログインします。

supportblog2_1a

ホーム画面から [vCenter Server] を選択します。
[vCenter Serverホーム] 画面に遷移します。

supportblog2_1b

[インベントリリスト] から [vCenter Server] を選択します。

supportblog2_1c

[該当のvCenter Server] を選択します。
今回は vc55.mylab.local というvCenter Server からログを取得します。

supportblog2_1d

[該当のvCenter Server] 画面に遷移したら、[監視]タブ – [システムログ] を選択し、[システムログのエクスポート] を押下して下さい。
ここからログバンドルをエクスポートすることができます。

supportblog2_1e

[ログのエクスポート] 画面がポップアップされます。
[フィルタ] タブにはこのvCenter Server が管理しているESXiが表示されますのでログが必要なESXiにチェックを入れて下さい。
今回は、vCenter Server、このvCenter Serverが管理しているの192.168.1.3というESXi、Web Clientのログを取得する設定になっています。
チェックができたら [次へ] で先に進みます。

supportblog2_1f

[ログバンドルの生成] を選択します。

supportblog2_1g

生成中…少し待ちます。

supportblog2_1h

ログが生成されました。
[ログバンドルのダウンロード] を選択して端末にダウンロードします。

supportblog2_1i

あとはブラウザで、お好きな場所に保存すれば完了です。
今回はデスクトップに置くことにします。

supportblog2_1j

できました!

supportblog2_1k

vCenter Serverのイベントログの採取方法(Web Client経由)

続けてイベントログを取得してみます。
ログバンドルを取得した [該当のvCenter Server]画面 – [監視]タブで、今度は [イベント] を選択します。
[ホーム]画面 – [イベントコンソール] からでも同じことができます。
画面右下のマークを押下して下さい。

supportblog2_2a

[イベントのエクスポート]画面がポップアップします。
[タイプ:] は [システム] に設定していますが、同じ手順で [ユーザー] でも取得して下さいね。
[開始時間] [終了時間] は事象が発生した時間帯を含まれるように設定します。
[CSVレポートの生成] を押下します。

supportblog2_2b

生成できました。
[保存] で先に進みます。

supportblog2_2c

あとはブラウザで、お好きな場所に保存しましょう。

supportblog2_2d

できました!

supportblog2_2e

ESXiのログバンドルの採取方法(SSHクライアント経由)

ESXiに直接ログインしてESXiのログバンドルを取得する方法を説明します。
ESXiのログだけ取得したい時や、vCenter Serverから管理できない状態になっている時などはこの方法がよいと思います。

今回はESXiにSSHでログインしてログを取得します。

ESXiにSSHで接続しログインし、vm-supportコマンドを実行します。

supportblog2_3a

ログバンドルの生成が完了しました。

supportblog2_3b

var/tmp 以下にファイルが作成されています。

supportblog2_3c

今回はSSHクライアントのSCP機能を使用して端末のデスクトップに送りました。
完了です!

supportblog2_3d

「1.事象の伝え方」の内容と重複しますがログと一緒に必ず送っていただきたいのが、「ログを調査するための情報」です。
「ログがあれば何でもわかるでしょ!」と思われるかもしれませんが、vSphereのログは膨大ですのでこれを全て精査するのは人間には難しい作業です。
時間帯やコンポーネントを絞って確認する必要がありますので、是非ご協力をお願いします。

・作業手順(文章による説明やスクリーンショットで)
・時刻、時系列(文章による説明やスクリーンショットで)
・事象が発生しているESXiや仮想マシンの名前

■参考になるKB

* VMware KB: Collecting diagnostic information for VMware vCenter Server 4.x, 5.x and 6.0 (1011641)
http://kb.vmware.com/kb/1011641
vCenter Serverのログの取得方法がまとめられています。

* VMware KB: Collecting diagnostic information for ESX/ESXi hosts and vCenter Server using the vSphere Web Client (2032892)
http://kb.vmware.com/kb/2032892
Web Clientを使用してログを取得する方法が説明されています。

* Collecting diagnostic information using the vm-support command in VMware ESX/ESXi (1010705)
http://kb.vmware.com/kb/1010705
ESXiからコマンドでログを取得する方法が説明されています。

長くなりましたが、ひとつひとつの作業はそれほど難しくないと感じていただけたのではないかと思います。
ここまできちんと揃えていただければ、スムーズに調査が進むはずですので、お問い合わせの際ご活用下さい。

弊社サポートセンターへはMyVMwareからお問い合わせいただけます。

MyVMware
https://my.vmware.com/web/vmware/login

SRの発行方法やデータのアップロード方法については、以下のガイドが公開されております。

VMware サポートリクエスト発行ガイド
http://campaign.vmware.com/imgs/apac/jp_dwn/PDF/support-SR_guide.pdf

「なるべく早く、正確に、問題を解決したい」という気持ちは、お客様もサポートエンジニアも同じです。
うまくコミュニケーションを取って問題を解決しましょう!

第1回 トラブル発生時に役立つ 4 つのリソース
第2回 サポートリクエスト(SR)と情報採取
第3回 応用編

第1回ではトラブル発生時に確認しておきたい情報と、確認の方法についてお話しました。
お客様自身で解決できる問題もあったかと思いますし、解決まではたどりつけなくても問題がどこにあるのかの切り分けや状況の整理ができたかと思います。
第2回、今回はお問い合わせいただくときに意識していただきたいポイントや情報採取についてお話しました。
ここまでで、トラブル発生~お客様自身でのトラブルシューティング~お問い合わせ の基本的な流れをイメージしていただけましたでしょうか。
次回は具体例を上げながら、実際問題が発生した時にはまりやすいポイントについてお話します。

Virtual Volumesに国内最速対応 NEC iStorage 御紹介

みなさま、こんにちは。
NEC iStorage により、国内最速でVMware vSphere Virtual Volumesにご対応頂きました。今回は、Virtual VolumesとiStorageによる対応機能及びメリットについて  日本電気株式会社  ITプラットフォーム事業部  猪鹿倉 知広様  にご執筆頂きましたので御紹介させて頂きます。

VMware vSphere Virtual Volumesで変わる仮想化環境

< はじめに >

現在の仮想化環境が抱えるさまざまな問題を解決する、画期的な技術として注目されているVMware vSphere Virtual Volumes(以下、Virtual Volumes)。
2015年2月3日にVMware vSphere 6.0の新機能として正式発表され、仮想マシンとサーバ・ストレージのより緊密な連携によるパフォーマンス上昇、効率的な運用の実現が期待されています。NECはVMwareのパートナーとして、Virtual Volumesの実装に向けて早期から協調し、対応ストレージをいち早くお届けすることができました。

Virtual Volumesの概念自体は非常にシンプルです。仮想マシンが使用するデータ領域を、新たな共通単位『仮想ボリューム(VVOL)』として、ストレージ側とサーバ側で共通認識させようという試みです。

仮想マシンとVVOLが1対1の対応になるので、サービスレベルに従い、ポリシーを選択して仮想マシンが利用するストレージを決めることができます。さらに、ストレージ製品で提供している多様な機能が仮想マシン単位で利用可能になることで、簡単運用が実現されます。

今回の記事では、Virtual VolumesとNEC iStorageによって実現するソリューションを簡単にご紹介します。

< Virtual Volumesを利用している環境でのNEC iStorageソリューション >

NEC ストレージ iStorage Mシリーズ ではVirtual VolumesとしてVMwareが提唱する機能だけでなく、Virtual Volumesを利用している環境をより効果的に利用するためのソリューションを準備しております。“NECならでは”と言えるVirtual Volumes連携機能の一部をご紹介いたします。

vVOL02

ストレージポリシーによる仮想マシンの簡単運用

Virtual Volumesを利用している環境におけるストレージが、仮想マシンごとに設けられた仮想ボリューム(VVOL)を個別に認識できることにより、仮想マシン単位で仮想ボリュームの運用・管理を行うことができます。サーバ管理者は新規仮想マシンを作成する際に、『ストレージポリシー』を選択するだけで、簡単にVVOLを生成することができます。このストレージポリシーとは、「GOLD」、「SILVER」などの名称で、ストレージの性能、重要度、各種機能の使用有無などの情報を設定し、あらかじめ数種類用意しておくテンプレートです。

vVOL03

この、「GOLD」や「SILVER」などのストレージポリシーとして、ストレージの持つ様々なVirtual Volumes連携機能を紐付けることができます。

1)    仮想マシン単位での「I/O流量制御」機能   iStorage IO Load Manager

サーバ仮想化、ストレージ仮想化を進めていくことにより、1つのストレージに複数の仮想マシンがアクセスすることになります。このような環境において、高負荷をかけた仮想マシンの影響で、重要度の高い業務レベルの仮想マシンの処理を滞らせるようなことを防ぐために、一定以上の性能を担保する機能が「I/O流量制御機能」です。一般的なI/O流量制御は、I/O流量の“上限値”を設定します。そして上限以上の負荷がかけられた場合に、その過剰負荷をかけた仮想マシンのI/O流量を制限することで、他の仮想マシンへの影響が出ないようにします。さらにNECのI/O流量制御では、“下限値”を設定することができます。重要度の高い仮想マシンのI/O流量が一定値以下にならないように、他のマシンのI/O流量を制御し、重要度の高いマシンの性能を担保します。こうしてシステム全体を安定稼働させるために、重要度に応じた、より一層きめ細かい対応を採ることができます。

vVOL04

2)   仮想マシン単位でデータの自動最適配置  iStorage PerforOptimizer

ストレージは、SSD、SAS HDD、ニアラインSAS HDDなどのように、いくつかの性能の異なる物理ディスクから構成されています。頻繁にアクセスされるデータと、まれにアクセスされるデータが、同じ高性能・高価格のデバイスに格納されていては非効率です。そこで、アクセス頻度に応じてデータを最適なディスク領域に自動配置するのが、「データ自動最適配置」機能です。各データファイルは、単純なアクセス回数だけでなく、転送量やアプリケーション特有のアクセスパターン(ランダム/シーケンシャル、リード/ライト)を時間単位で分析し、NEC独自のアルゴリズムにより自動的に再配置される仕組みです。ここにもNECならではのノウハウが生かされています。

vVOL05

I/O流量制御機能の上限値/下限値や自動最適配置の物理ディスクの容量比を、「GOLD」や「SILVER」などのストレージポリシーとしてあらかじめ登録しておくことができます。VVOL領域作成時には、お客様はストレージポリシーを選択するだけで、同一のストレージプールから用途に応じた最適なデータ領域を割り当てることができます。そして、お客様は特に意識しなくても、ストレージ性能の最大化の追求と、ストレージコストの最適化が、自動的に実現できるのです。

バックアップ/リストア機能の活用

1)   DirectDataShadow(DDS)

DDSは、iStorage HSシリーズとiStorage Mシリーズを直接接続し、サーバレスでの多世代バックアップを可能にする技術です。

仮想化環境では高速なバックアップが求められるうえ、多世代のバックアップを保存しておく必要もあります。それには、iStorage HSシリーズのように、バックアップに特化した安価・大容量のストレージを活用することが効果的です。しかし、通常のバックアップシステム構成では、バックアップサーバとバックアップソフトが必要なため、その導入/運用コストがかかってしまいます。このDDSソリューションではそれを解決するため、バックアップサーバ/ソフト不要のシンプルな構成でのバックアップ環境を実現しました。データ圧縮のための重複削除機能も備えており、クローン作成時などではバックアップ容量を削減できるほか、差分バックアップも可能です。バックアップ用のiStorage HSシリーズは、近接地にも遠隔地にも設置可能なので、低価格で簡便に災害対策用のバックアップシステムを構築できるうえ、運用管理コスト、通信コストを削減することができます。

vVOL06


もっと詳しくという方は

詳しくはNECのサイトでホワイトペーパーを公開しておりますので、こちらにも是非お越しください。
http://jpn.nec.com/istorage/whitepaper/index.html

NECの仮想化への取り組み

最後に、NECの仮想化への取り組みをご紹介します。
vVOL07
NECは、2002年より他社に先駆けて業界最大手であるVMwareとパートナーシップを結び、仮想化に最適なPCサーバ製品Express5800シリーズやストレージ製品iStorage Mシリーズなどの製品・ソリューション開発をしてきました。世界で最も広く導入されているサーバ仮想化ソフトウェアVMware vSphereとの親和性を高める連携機能開発にも注力し、2009年以降、Storage Replication Adapter、VMware vSphere APIs-Array Integration機能などを提供しております。今回リリースされたVMware vSphere 6.0での新機能Virtual Volumesも、開発中のβ(ベータ)版より先行評価を開始1し、VMware社のVMware vSphere 6.0リリースに併せて対応ストレージとして認証を取得しました。2

※1. vSphere Virtual Volumesのβ認証テストを取得した企業は、グローバルでNECを含めた6社のみ。
※2. 2015年3月12日、NECは国内最速でVMware vSphere Virtual Volumes認証を取得。