Home > Blogs > Japan Cloud Infrastructure Blog

Deep Security 12.0リリース! VMware関連アップデートのご紹介(3)

DSVAシームレスアップデートによるアップデートの簡素化

 

トレンドマイクロ  VMware テクニカルアライアンス担当 栃沢です。

 

8月の VMworld 2019 参加などを挟んで少し時間が空いてしまいましたが、Deep Security™ 12.0(以下、Deep Security)リリースに伴う Deep Security Virtual Appliance(以下、DSVA)関連のアップデートの 1つである ”DSVA シームレスアップデート” についてご紹介をしたいと思います。
これから DSVA を利用される方にはなかなか分かりづらいアップデートになりますが、運用していく上ではアップデート時の選択肢が増えるという意味で有用な機能になっていますので、運用設計の参考にもしていただければと思います。
また、このシームレスアップデートについては、VMware NSX® Data Center for vSphere の場合に利用が可能で、2019年10月(Deep Security 12.0 Update 2)時点では VMware NSX-T® Data Center 環境ではご利用頂けませんのでご注意ください。

 

■ 従来の DSVA のアップデートの方法と DSVA のデプロイの使用

従来、Deep Security のバージョンアップを行う際には Deep Security Manager(以下DSM)をアップグレードした後に DSVA を vCenter Server の“ネットワークとセキュリティ”から DSVA の再配信を行う、というのが一般的な方法でした。
「DSVA の再配信」は、すでに各 VMware ESXi™(以下、ESXi)ホストに配信されている DSVA を一旦「削除」して、改めて新しい OVF ファイルで配信を行う一連の作業の総称で、すべて vSphere Client から vCenter Server を起点に実施する仕様となっています。(同時に配信する Guest Introspection と同様の配信手順になるため、私がトレーニングなどでお話しするときは「DSVA と Guest Introspection は兄弟ですよ!」とお伝えしています。)

ここでアップデートの方法を理解する上で DSVA の OVF ファイルと配信される仮想アプライアンスとしての DSVA の関係性について触れておきたいと思います。
ヘルプセンターなどのオンラインマニュアルには記載がありますが、なかなかご説明をする機会も少ないですね。

 

DSVA を配信するために必要な OVF ファイルは、DSM に格納されていますので、vCenter Server および連携する NSX Manager は DSVA を配信する際に、DSM から DSVA のパッケージをダウンロードした上で各 ESXi ホストへ配信します。(あらかじめ必要なパッケージの DSM へのアップロードとバージョン指定をしておけば、配信時の DSM からの操作は不要です。)

DSVA 配信にあたり、予め DSM へアップロードしておくべきパッケージには以下のものがあります。

  • DVSA パッケージ
  • Linux 版 Deep Security Agent(以下DSA) 64bit 用

DSVA のパッケージは基本的にはメジャーリリース毎(DS11.0、DS12.0など)の初期ビルドのみでリリースされ、その後リリースされるアップデート毎にはリリースされません。各アップデートで提供される DSVA の機能拡張や修正は Linux 版 DSA 64bit パッケージに含まれており、DSVA の配信を実行すると、DSVA をデプロイする際に合わせて指定した DSA のバージョンパッケージによりアップデートが行われます。

 

上記のような仕様であることと、DSVA 配信時には vSphere Client からは配信するバージョンを指定することはできないことから予め DSM で配信したいビルド番号を指定しておくことも必要です。アップデートしたいビルドバージョンは DSM ローカルにアップロードされている DSA パッケージのみが選択可能となっており、デフォルトではローカルで最も新しいビルドを利用するようになっています。

 

デプロイ後の DSVA の状態を見てみると、以下のようにバージョンの情報が2つ表示されます。

  • Virtual Appliance のバージョン          :仮想アプライアンスとして配信されている DSVA のビルド番号
  • Appliance(SVM) のバージョン            :ベースとなった DSVA パッケージ(OVF)のビルド番号

また、同一メジャーバージョンの間でビルドのアップデートを行いたい場合には、DSVA を配信した状態で “Virtual Appliance のバージョン”(=DSA パッケージビルド)によるアップデートを行うことも可能です。
DSVA 毎にアップデートすることが可能ですが、短時間ではありますがセキュリティ保護ができなくなることがありますので留意してください。

 

■ 従来のアップデートの違いとシームレスアップデートの違い

DSVA のアップデートの仕組みをご理解いただいたところで、今回のテーマであるシームレスアップデートについて解説をしていきたいと思います。
従来のアップデートとの違いも含めて整理すると以下のような位置づけになります。

簡単に言ってしまうと、シームレスアップデートは DSVA を配信した状態で OVF の置き換えもしてしまうアップデート方法です。シームレスアップデートを行うと “Virtual Appliance のバージョン”、“Appliance(SVM) のバージョン” 双方がアップデートされます。

ここからはアップデート方法とアップデート中の DSVA の状態を解説していきたいと思います。

 

【シームレスアップデートの実行】
DSM でアップデートしたい ESXi ホストを指定して “Appliance(SVM) のアップグレードを実行

ポップアップ画面の解説にも記載がありますが、シームレスアップデートを実行すると DSVA の削除から指定されたビルドでの再配信までをワンクリックで自動的に実行してくれます。
そのため、アップデート中は該当 ESX iホスト上の仮想マシンに対するセキュリティ保護はできなくなりますので注意してください。
また、DSVA を指定するのではなく、ESXi ホストを指定して実行することもポイントです。
手順はこの 1つだけです。非常に簡単に実行できます。

 

【シームレスアップデートの流れ】
実際のアップデート時の挙動について簡単に見ておきましょう。
DSM 上ではシームレスアップデート実行後しばらくすると ESXi ホストのステータスが“非管理対象”となり、あわせてアップグレード中であることが表示されます。

vSphere Client からも DSVA がパワーオフされて削除されて新たにデプロイされていく推移を確認できます。

 

ここまでシームレスアップデートについて解説してきました。
シームレスアップデートを利用するのか、DSVA を再配信するのかはどのような方針でアップデートするのかによって使い分けて頂くことになると思いますが、vSphere Client 経由で DSVA を再配信する場合にはクラスタ単位での実行となる為、影響範囲が大きいと判断される場合には、シームレスアップデートをご利用頂けるケースもあるのではないでしょうか。
シームレスアップデートを利用のポイントを改めてまとめておきたいと思います。以下の点も踏まえてバージョンアップ計画を立てて頂ければと思います。

  • エージェントアップデートは DSVA を指定するが、シームレスアップデートは DSVA が配信されているホストを指定して実行する
  • DSVA の配信管理は原則 vCenter から NSX Manager 経由で実行されているためクラスタ単位での実行になるが、シームレスアップデートはホスト単位での実行となる
  • 複数の ESXi ホストを同時にアップデートすることはできない(おそらく ESX Agents Manager の制御との兼ね合い)ため、1台ずつ完了確認を行いながら実施する
  • クラスタ単位で DSVA のバージョンが異なることは問題が発生した際に切り分けが困難になることもあるので、アップデートを開始したら速やかに同一クラスタの各 ESXi ホストをアップデートも実行する
  • シームレスアップデートはVMware NSX Data Center for vSphere 環境でのみ実行可能で、VMware NSX-T Data Center 環境ではサポートしていない

ぜひ、アップデート時の1つの選択肢としてご利用を検討してみてください。

 

執筆者:

トレンドマイクロ株式会社
エンタープライズSE本部
セールスエンジニアリング部 サーバセキュリティチーム
シニアソリューションアーキテクト / VMware vExpert
栃沢 直樹(Tochizawa Naoki)

 

【Deep Security 12.0リリース! VMware関連アップデートのご紹介】

    1. Deep Security 12.0 リリース内容とVMwareソリューション関連のアップデート
    2. Deep Security 12.0 VMware NSX-T環境におけるエージェントレス型セキュリティの実装概要
    3. DSVAシームレスアップデートによるアップデートの簡素化

 

vSAN の新しいカタチ ~ 2 Node vSAN を複数拠点にバラ撒いて集中管理をしましょう ~

みなさま、こんにちは!!アステック株式会社の中平(左)と坂本(右)です。

アステック株式会社は大阪に本社をかまえ、制御系システムソフトウェア開発を中心とした「ソフトウェア開発」部門と、IT インフラのネットワーク設計、セキュリティシステムの設定からハードウェア・ソフトウェアの販売・導入・保守メンテナンス等まで対応している「IT ソリューションビジネス」部門の二本柱を中心とした事業を行っております。

https://www.astec-corp.co.jp/

 

今回は世間で仮想化基盤のデファクトスタンダードとなっている HCI Powered by vSAN の新しい使い方 「複数拠点向け 2 ノード vSAN のバラ撒き構成」をご紹介します。

こちらの記事は日本製薬様というお客様へ実際に導入した実体験を基に、具体的な構成や構築のポイントなどをお伝えします。

※事例化の記事は以下のリンクを参照ください。

https://vmware-juku.jp/casestudy/nihon-pharm/

 

◆案件の概要

  • 各拠点で点在していた NAS および 物理サーバー を 2Node vSAN にリプレース
  • 拠点ごとに個別管理していたインフラを、中央の vCenter Server から集中管理
  • 各拠点の NAS ストレージは、2 Node vSAN 上に構築した Netapp Ontap Select へリプレース
  • バラ撒かれた2 Node vSAN 上の Netapp Ontap Select は 中央の Netapp ストレージとレプリケーションすることで データの DR も実現

 

1.   複数拠点向け 2 Node vSAN  構成とは?

2 Node vSAN といえば小規模の環境でサーバーとストレージを統合するためのソリューションと思われがちかもしれませんが、実は複数拠点を展開している企業での利用も最適です。

 

複数拠点をお持ちのお客様で拠点ごとにストレージや NAS を配置しているパターンは結構ありませんか?

その使い方だと拠点ごとの個別管理で運用負荷が増えていく原因にもなります。

そこで 2 Node vSAN を各拠点にバラ撒いて運用をすると、中央から集中管理が可能になり、運用の効率化と負荷軽減を実現することが可能です。

 

2.    導入構成の Before / After の紹介

2 Node vSAN を各拠点にバラ撒いて、本社やデータセンターに配置した vCenter Server から集中管理するときのネットワーク構成の詳細が書かれた資料は少ないと思いますのでここでは実際の構成をもとに紹介したいと思います。

 

導入前の構成

以前の構成は各拠点に物理サーバー1台とファイルサーバー用の NAS を配置して、本社に配置した NAS ストレージとデータミラーリングを行っていました。

各拠点は単体の物理サーバーで運用していますので冗長化はされていませんでした。

 

導入後の構成

以下が 2 Node vSAN を各拠点に展開したときのネットワーク構成になります。

2 Node vSAN を採用することで、以下のメリットを各拠点に提供できるようになっています。

・拠点のサーバーとストレージ管理をデータセンター側から集中管理できる

・仮想化により vSphere HA による冗長化ができる

・拠点で H/W を新規購入することなくサーバーを構築できる

また、拠点の vSAN ノードの管理インターフェースから Witness 通信をさせるように設定をするという点と、必要に応じてデータセンター側の vSAN Witness アプライアンス と通信ができるようにStatic Route を設定することを忘れないでください。

[ESXi ホストの Witness 通信設定変更コマンド]

例) esxcli vsan network ip add -i vmk1 -T=witness
https://storagehub.vmware.com/t/vmware-vsan/vsan-2-node-guide/vmkernel-interfaces-witness-traffic/

[ESXi ホストの Static Route 設定コマンド]

例) esxcfg-route -a 192.168.100.0/24 192.168.0.1
https://kb.vmware.com/s/article/2001426?lang=ja

 

3.    vSAN バラマキ構成でメリットの出し方

今回の導入でどのようにしてメリットを出したのかをポイントをわけてご紹介します。

3-1.  各拠点の個別管理から集中管理へ移行したいなら vSAN バラマキ構成がベスト

vSAN のばら撒き構成のメリットにはサーバーとストレージの集中管理ができる点にあります。

以下の図は vCenter Serverのログイン画面です。

1つの画面上で全拠点の仮想サーバーの管理はもちろんのこと、ストレージの状況や管理まで行えるため、各拠点に IT 要員を配備しなくても運用ができるようになります。

 

3-2.  拠点で物理サーバーを運用しているなら 2 Node vSAN への移行がベスト

今回のケースではもともと拠点側では NAS と物理サーバーで運用している環境でした。

「2章 導入構成の Before / After の紹介」にあるように、リプレース前の構成では拠点内のサーバーは冗長構成が取られていません。

この環境で仮想環境へ移行するために、サーバーとストレージの新規購入をすると大幅な費用追加を求められます。

こういった環境では 2 Node vSAN にすることで、実際にかかるハードウェアコストを70%まで削減することができました。

以下の画像の赤枠で囲った部分のコストを下げることができます。

もし拠点で物理サーバーを運用している方で、今後仮想環境に変えたいと考えている場合は、3 Tier ストレージ構成ではなく 2 Node vSAN での構成を検討ください。

コスト面 + 運用負荷 + 利便性 などの様々な面でメリットを感じられるはずです。

 

 

3-3.  コストメリットを出すなら vSAN ノードを手組みで構成するのがベスト

vSAN は アプライアンス型、Ready Node 構成 、DIY (手組み構成)がありますが、様々な要望に応えつつ コストメリットを出すなら Ready Node 構成と手組み構成の組み合わせベストです。

具体的な構成方法は VMware が提供している vSAN ハンズオンの中で紹介していますので興味ある方はご参加ください。

※以下のリンクから vSAN ハンズオン資料を取得できます。資料中でもやり方を記載しています。

https://vmware.my.salesforce.com/sfc/p/400000009hQR/a/34000000U33i/VXl.gqTrh8UplMS_8h8le96cN61WQgpj9.Ox10UiW0w

 

今回の案件で採用した構成は最適なコストパフォーマンスを出すために、Ready Node 構成と DIY 構成を組み合わせています。

これは各ハードウェアメーカーが検証することで動作確認が取れている Ready Node 構成を、要件に応じて一部のパーツだけを認定の取れているパーツへ変更するという部分的な手組み構成を組み合わせています。

 

この組み合わせによるメリットはハードウェアの大半が検証済みの構成を採用できるので安定的な稼働を受けられると共に、CPU / Memory / ディスクサイズ(キャッシュ、キャパシティ)などを要件に合わせて柔軟に変えられることで、パフォーマンスとコストメリットの両立を実現できることです。

 

今回の構成では、2 Node vSAN 上に Netapp Ontap Select を実装して、ファイルサーバーとして利用しています。

課題はファイルサーバーを動かすためのディスク容量が必要になるという点はもちろんのこと、快適に利用するためにキャッシュも大容量であることが求められます。

そこで今回の案件では Ready Node 構成に対して以下のような変更をすることで仮想基盤 & ファイルサーバー基盤の両方の要件を満たせる構成を実現しました。

今回のポイントは廉価で高速かつ大容量の SSD をキャッシュに採用して、高速な仮想ストレージを実現するところにあります。

Hybrid 構成の vSAN を採用したため Read Cache が70% 、Write Cache が 30% となります。

今回は1ノードあたり 1.92TB SSD を使用しますので以下の容量になります。

Read Cache のサイズ  ⇨  1.92TB * 0.7 (Read Cache 割合) = 1.34TB

Write Cache のサイズ ⇨  1.92TB – 1.34TB (Read Cache サイズ) = 580GB

これだけの容量があれば仮想基盤とファイルサーバーを共存しても安心ですね!!

※キャッシュ構成の情報は以下の VMware ブログを参照ください。

https://blogs.vmware.com/jp-cim/2016/04/vsan_04.html

 

そして、性能指標でも Read IOPSが57,000 で Write IOPS が27,000 ということで、十分に収容可能であることが確認できます。

https://www.hpe.com/au/en/product-catalog/servers/server-solid-state-drives/pip.specifications.hpe-1dot92tb-sata-6g-read-intensive-sff-2dot5in-sc-3yr-wty-digitally-signed-firmware-ssd.1010129362.html

もし vSAN 導入時のコストでお悩みの際は、手組みの vSAN でコストの最適化を検討してみてください。

 

4.    構築時のポイント

最後に 2 Node vSAN ばら撒き構成を構築する際のポイントをいくつかご紹介します。

 

・2 Node vSAN クラスタ 1つに対して、vSAN Witness アプライアンスが1つ必要です。今回の構成は 3拠点に vSAN ノードをバラ撒いていますので、データセンターに Witness アプライアンスを3台展開しています。

 

・拠点内の vSAN ノード を10G NIC 直結で構成する場合は、Witness アプライアンスに疎通可能なインターフェースに、vSAN Witness 通信のタグをつけるようにしてください。

※詳細な構成は世界で70名ほどしかいない vExpert-vSAN の一人である「Captain 大塚」ことSBC&S 大塚正之さんのブログも参照してみてください。

https://vm-fun.blogspot.com/2019/04/2-node-vsan.html

 

・2 Node vSAN の障害時の挙動を知りたいという方向けに良いブログを見つけました。

vExpert-vSAN の一人である SBC&S 稲葉直之さんのブログで障害時の挙動がサマリにされており、とても見やすいのでそちらを抜粋しつつ紹介します。

https://www.dell.com/support/article/jp/ja/jpdhs1/sln313110/

今回のブログでは 2 Node vSAN の構成や導入に関する情報を書かせていただきました。

お役に立つ情報がまたありましたらこちらでご紹介させていただきますのでご期待ください。

VMware Cloud Foundation でハイブリッドクラウドへ踏み出そう

Part4: VCFでハイブリッドクラウドを実現するには?

ー Back Number ー

#1 「VMware Cloud Foundation (VCF) 」 をご存知ですか

#2    VCFはどんなお客様向けの製品?

#3   自動セットアップの方法とは?

#4   VCFでハイブリッドクラウドを実現するには?

 

日本ヒューレット・パッカード(HPE)で仮想化やハイブリッドクラウドソリューションなどのプリセールスをしている片山倫哉(かたやまともや)です。

 

連載第4回は、ついに本連載のタイトルでもある「ハイブリッドクラウド」についてご説明していきたいと思います。VMware Cloud Foundation(VCF)を使って、ハイブリッドクラウドを実現するための方法です。

これまでのおさらいとして、まずはVCFのコンセプトから再確認してみましょう。

 

連載第1回では、VCFはハイブリッドクラウドを実現するための製品であることやVMware Cloud on AWS も実はVCFをベースとした共通技術(アーキテクチャー)で動いていることをお伝えしました。

共通の技術であれば、それがプライベートクラウド上であってもパブリッククラウド上であってもシームレスに連携できるまではイメージできるでしょう。

 

しかし、よく考えてみてください。

“共通の技術”というだけで簡単にハイブリッドクラウドを実現できるのであれば、みんな苦労しないですよね??

最近、お客様先に訪問した際に「ハイブリッドクラウドはどうやったらいいですかね?」とか、「どうやってオンプレミスとクラウドを使い分けたらいいですか?」などと聞かれることが増えてきました。お客様によって事情や状況が異なりますので一括りに言えませんが、ハイブリッドクラウドを実現するための前段階として、絶対に必要となってくることが1つあります。

 

それは、データセンター運用の標準化 です。

 

デジタルトランスフォーメーションを推し進めていこうとしている中で、データセンターで管理するモノの数や増加し続けるデータの運用に、データセンターの管理者は限界に近づいてきている状況はみなさまご存知のとおりかと思います。

自社のシステムは、その時々で購入した“継ぎ接ぎ”なシステムになってしまっている方も多いのではないでしょうか。しかも、そういうシステムに限って、独自の管理オペレーションが必要だったりするものです。

 

「◯◯さんに聞かないと運用方法がわからない」といった 属人化運用もこういう背景から生まれていきます。

また、日々の運用すら厳しい状況の中、会社の上層部がクラウドを導入することを決めてしまい、クラウド側の管理まですることになると、管理者は精根尽き果てることが容易に想像できてしまう―――。

精根尽き果てるだけだとまだマシで、日々の運用が回らなくなり、業務に支障がでることも出てきます。

 

容易なことではありませんが、長年培ってきたIT資産を管理するノウハウとは別に、運用面も含めデータセンターの標準化について考えるところからハイブリッドクラウドはスタートします。

 

◇ データセンター運用の標準化にはVCF + HPE Synergy ◇

 

ITシステムにおける標準化はアプリやAPIなどから様々なレイヤで必要になりますが、「仮想化インフラの標準化」の課題をマルっと解決できるのがVCFです。

但し、注意してください。単にVCFを導入しただけでは”標準化”されたとは言えません。運用の標準化で一番難しいのは “運用側のマインドチェンジ”と言われています。「今まではこうだったから~」という概念は捨てて運用していくことが重要です。

理解を深めるために、マインドチェンジできていない例とできている例を記載します。

 

マインドチェンジできていない場合

VCFを導入したにもかかわらず、運用フェーズにおいて「サーバー1台だけ個別にESXiのパッチを適用したい」などの要望に応えてしまう。

運用開始直後はVMware社の理想形(VMware Validated Design)になっていたものが、日時の経過と共にかけ離れていき、結局は従来のようなサーバー単位に個別のオペレーション運用になってしまいます。

 

VMware Validated Design

https://www.vmware.com/jp/solutions/software-defined-datacenter/validated-designs.html

 

マインドチェンジできている場合

VCF導入後、運用フェーズにおいても個別管理は許容しない。

特別な運用を許容すると、標準化から離れることになりますので、管理者には“我慢”が必要になってきます。

VCFでは個別管理の代わりに、全体をVMware SDDC Managerで統合管理することで運用の標準化が可能です。

 

具体的な例が「パブリッククラウド」です。パブリッククラウドでは1台1台のサーバーに対して「パッチ適用しますね?」という確認は行わないですよね。事前に予定を告知してくれますが、クラウド事業者側で一括してバージョンアップされます。この運用スタイルをオンプレミス側でも適用していくと考えると理解しやすいのではないでしょうか。

 

◇散らばっている個別システムをVCFへ統合◇

ハイブリッドクラウドの導入の前に、既存のオンプレミス環境を標準化するため、まずVCFを構築します。

次にデータセンターや様々な場所に設置している既存のvSphere基盤や仮想化基盤を新しく構築したVCF環境へ移設していきます。

VCF環境ではVMware SDDC Manager による統合管理が可能ですので、移設していくことにより次々と仮想化基盤の運用が統合されてラクな運用になっていきます。

 

◇ハイブリッドクラウド環境の構築◇

オンプレミス環境の仮想化基盤のVCF環境への統合が完了すると、ついにハイブリッドクラウドを検討する段階になります。

ハイブリッドクラウドを実現することができたときのイメージ図です。

 

具体的にどのような技術を駆使してハイブリッドクラウドを実現するかについて、仮想マシンをハイブリッドで管理するという観点でVMware社からは主に2つの方法が用意されています。

 –Hybrid Linked Mode (HLM) による管理

VMware HCX  を使った相互接続

 

◇Hybrid Linked Mode (HLM) による管理 ◇ 

この方法は、VMware Cloud on AWS 上のvCenter Serverとオンプレミスの vCenter Single Sign-On をリンクさせる手法です。

1つのvSphere ClientのWeb画面からオンプレミス、クラウド、どちらの環境も管理することができ、仮想マシンの移行もシームレスに実現することが可能です。

 

Hybrid Linked Mode の詳細については VMware Docs にも記載されています。

 

Hybrid Linked Mode

https://docs.vmware.com/jp/VMware-Cloud-on-AWS/services/com.vmware.vsphere.vmc-aws-manage-data-center.doc/GUID-91C57891-4D61-4F4C-B580-74F3000B831D.html

 

 

◇VMware HCX を使った相互接続◇

 

聞き慣れない名前かもしれませんが、VMware HCXはオンプレミスのVMware vSphere環境とVMware vSphere ベースのクラウド間をシームレスに接続することができるものです。

驚くべき点は、なんと、既にジェネラルサポート終了を迎えているvSphere 5.5 から最新のvSphere まで対応しているところです。古いvSphere上で稼働中の仮想マシンもハイブリッドクラウドの対象です!適材適所な場所で仮想マシンを稼働させることができます。これぞハイブリッドですよね。

*一部機能制限がありますが、VMware HCX はvSphere 5.1にも対応

 

VMware HCX について

https://cloud.vmware.com/jp/vmware-hcx/faq#general

それぞれのメリットをまとめて比較すると以下の様になりますので、用途に応じて採用をご検討頂ければと思います。

HLM :

  • デプロイに必要なリソースが少ない
  • VSSのみで実装可能
  • Live Migrationの場合、ネットワークに低遅延が必要 (100ms RTT, 250Mbps)

HCX :

  • 標準でL2延伸を実装可能
  • WAN最適化の機能を実装可能
  • Live Migrationの場合でも、ネットワーク遅延の制約が少ない(100Mbps)
  • オンプレミス側のvSphereバージョンの制約が緩い

 

今回は、ハイブリッドクラウドを実現するための心構えや方法について記載しました。

是非みなさまもハイブリッドクラウドを実現するための製品であるVCFと、VCFに最適なプラットフォームである HPE Synergy をご検討ください。

 

片山 倫哉(かたやま ともや)

日本ヒューレット・パッカードのプリセールス部門に所属するプリセールスコンサルタント。

前職ではプログラマー、HPEでは仮想化のサポートエンジニアを経験後、プリセールス部門に転身。

技術が好きでVMware製品やMicrosoft製品の提案や、ProLiantサーバーを中心としたハイブリッドクラウドの提案などに従事。

次世代アーキテクチャのモジュラー型サーバの VCF での活用 ~PowerEdge MX のご紹介~

こんにちは! Dell EMC でパートナー様担当の SE をしている石塚です。ご存知の方々はお久しぶりです!こちらでも宜しくお願いします!!

さて、これまでの 3 回で吉田から Dell EMC のクラウドソリューション Dell Technologies Cloud のコンセプトや概要を高橋から VMware Cloud Foundation On VxRail についてご紹介させて頂きましたが、最終回の 4 回目は私から VMware Cloud Foundation と組み合わせられる面白いアーキテクチャを持った弊社の PowerEdge MX についてご紹介させて頂きます。

 

そもそも PowerEdge MX とは何ぞや?

ご存じではない方も多いと思いますので、まずは PowerEdge MX についてご紹介します。

PowerEdge MX は様々なコンポーネントを柔軟に組み替えたりすることができる「コンポーザブルサーバ」と言うジャンルに属した最新サーバーです。見た目はブレード ? と思われる方も多いかと思いますが、中身は旧来のブレード型サーバとは異なる優れた機能・特徴を持ち合わせております、下記に PowerEdge MX の機能・特徴に関してご紹介させて頂きます。

図 1 : PowerEdge MX 外観

 

〇シャーシのシングルポイント&ボトルネック問題を解消!

vSphere をご利用の皆様であれば、サーバーをクラスタ化して、vSphere HA 等での機能で、サーバー単体の可用性を高めている場合が多いのではないかと思います。しかし、ブレードサーバーによるミッドプレーン問題が発生してしまった場合には、サーバーをクラスタ化しても、ブレードサーバー内の全てのサーバーを停止しなくてはいけないため、システムの完全停止が必要になってしまいます。

ブレード型サーバのミッドプレーン問題とは、 シングルポイントフェイルとして停止を伴うメンテナンスが必要になったり、時間と共に陳腐化してボトルネックになってしまう問題のことです。

PowerEdge MX は、旧来のブレード型サーバではしばしば問題となっていたミッドプレーンに関する問題を解消しています。PowerEdge MX にはいわゆるミッドプレーンと呼ばれるものはありません。 サーバコンポーネントとバックエンドコンポーネント(ネットワークスイッチ等)が下記の図の通り、直接接続するアーキテクチャになっているためです。

図 2 : ミッドプレーン付きの従来モジュールとサーバーとスイッチモジュールを接続する直交コネクタ形状の比較

このおかげで、旧来のブレード型サーバで発生していたようなミッドプレーン故障による仮想サーバーの全停止メンテナンスはありませんし、ミッドプレーンの限界速度によるボトルネックも生じません。

例えば、ミッドプレーン障害(シングルポイントフェイル)を懸念して、管理ドメインとワークロードドメインを複数のシャーシに分散配置するようなことは不要です。1つのシャーシに管理ドメインとワークロードドメインを集約しても安心してご利用頂けます。また、NVMe や今後リリースされる高速デバイスが vSAN にサポートされて活用したとしても、ミッドプレーンがボトルネックになることは回避できます。長期的に変化しながら運用できるシステムになり得ることはご理解頂けると思います。

〇刻々と進化するアーキテクチャを取り込むことが出来る

例えば、vSphere 6.7 では NVMe をサポートされるようになったり、GPU が割り当てられた仮想マシンも vMotion 出来る様になりました。その様な最新デバイスやアクセラレータコンポーネントも、「この時点」で想定していなかったデバイスだったとしても、バックエンドコンポーネントに直接接続することで取り込むことができる様になっています。

また、将来的には、今後リリースされてくる様々な新しい技術 / デバイスをそのスペックを阻害することなく取り入れることができます。

これは PowerEdge MX の設計理念にある、コンピューティングやストレージのリソースを細分割して共有プールを作成し、必要に応じてリソースを拡張性のあるファブリックで接続して割り当てる、と言うキネティックアーキテクチャが実現しています。

このキネティックアーキテクチャを採用している PowerEdge MX は VMware Cloud Foundation や vSAN 等のスケールアウトが容易に行えるプライベートクラウド基盤に最適なハードウェアと言えるのではないでしょうか。

VMware 社も NVMe や GPU 等の最新ハードウェアへの対応を進めておりますが、PowerEdge MX のシャーシは 3 世代に渡るサーバコンポーネントをサポートしておりますので、今後、vSphere のバージョンアップによって最新ハードウェアを vSphere がサポート可能になった場合に、そのままの PowerEdge MX のシャーシで、最新ハードウェアを利用することができます。

よくあるケースとして、導入後に新しい CPU /チップセットが登場したときもシャーシに空きスロットがあれば、そこへ新しいサーバコンポーネントを組み込むことで運用システムへ取り込むことができます。 そして、PowerEdge MX は次世代アーキテクチャとして策定が進んでいる Gen-Z を想定したアーキテクチャでもあります。

図 3 : ユニバーサルプロトコルにより、すべてのコンポーネントが直接通信可能

Gen-Z は Dell EMC や VMware 社等、様々なベンダーが一丸となって取り組む、次世代コンピューティングアーキテクチャです。例えば GPU などのアクセラレータや SCM などのコンポーネントをプール化し、必要に応じてサーバコンポーネントへ割り当てることができるようになります。

PowerEdge MX は Gen-Z を前提としているため、直接接続アーキテクチャになっていると言うわけです。つまり PowerEdge MX は次世代 Ready! なコンポーザブルサーバーなのです。

〇シンプルな管理ツール

PowerEdge MX には冗長化された管理コンポーネント ( OpenManage Enterprise Modular : OME Modular ) が標準搭載されています。この管理コンポーネントを使って、PowerEdge MX シャーシ、サーバコンポーネント、ネットワークコンポーネントなどを一元的に管理することができます。また、PowerEdge MX 以外のサーバやネットワークスイッチなどがある場合にも同様に統合管理ツール (OpenManage Enterprise) から一元的に管理することができます。

また、vCenter Server のプラグインである OpenManage Integrated VMware vCenter(OMIVV)にも PowerEdge MX は対応しているので、「vSphere の管理」と言う視点でも vCenter から一元的にシンプルな管理を実現できます。

図 4 : Open Manger Enterprise を利用した統合管理

PowerEdge MX のセットアップや管理は全て管理コンポーネント(OME Modular)上の GUI(日本語)で行うことができます。CLI フリーです!初めて見る方でも直観的に分かる GUI、シンプルなセットアップウィザードで迷うことなく順番にサーバ設定、ネットワーク設定を行うことができます。これにより運用はかなり容易になると思います。

もちろん、サーバの管理は基準となるサーバを「テンプレート化」することができるので、同一用途のサーバの複数台のセットアップも非常に簡単です。!このアーキテクチャと VMware Cloud Foundation や VMware vSAN などの「スケールアウト」アーキテクチャを組み合わせることで拡張時の TCO を削減することができます。

〇vSAN Ready

スケールアウトがしやすい管理性を持っているため、PowerEdge MX は VMware vSAN との親和性が非常に高いです。その最大のポイントはディスク搭載のアーキテクチャにあります。 まず、起動ディスクにフロントディスクベイを消費する必要がありませんブート専用デバイスである BOSS (Boot Optimize Storage Solution) があるからです。この BOSS のおかげで、全ディスクスロットを VMware vSAN  のために活用できます。

そして、1 サーバコンポーネントあたり 6 つのディスクスロットがあります。VMware vSAN であれば 1 つのキャッシュディスクと 5 つのキャパシティディスクが搭載できます。コンパクトながら必要十分な VMware vSAN 容量を確保することができます。

そして、これでもディスクリソースが足りない、と言うことであればディスク搭載専用コンポーネントで最大 16 個のディスクドライブを搭載することが可能で、各ディスクを自由にサーバコンポーネントへ割り当てることができます。

図 5 : サーバーコンポーネントとストレージコンポーネント

 

VMware Cloud Foundation on PowerEdge MX のメリットは?

上記でご紹介させて頂いた PowerEdge MX と VMware Cloud Foundation を組み合わせるとどんなメリットがあるのか?についてご説明したいと思います。

〇VMware Cloud Foundation Ready なので導入も運用もシンプル & 確実

ご紹介する以上、当たり前ともいえるのですが PowerEdge MX は VMware Cloud Foundation Ready です。確実に構成・導入するためのデプロイメントガイドをどなたでも見れるように公開しています。 また、ディスク構成の面で VMware vSAN との親和性が高いことは上記でご説明していた通りですが、ネットワークの観点でも VMware vSAN との親和性が高いのが PowerEdge MX の特徴です。

サーバコンポーネントの追加はもとより、旧来のブレードサーバでは面倒だったシャーシの追加も「既存のネットワークファブリックに物理的に接続するだけ」で既存ネットワークへの参加が完了するからです。サーバコンポ―ネント設定もテンプレートで即時完了できるので、VMware Cloud Foundaiton でクラスタの拡張や増設をするまでの手間が非常に少なく済みます。

図 6 : MX Fabric Switch を使ったシンプルな増設作業

 

〇変化するシステム要件に柔軟に対応できる

前述のとおり、直接接続アーキテクチャのおかげで PowerEdge MX はコンポーネントを自由に組み替えることができます。「現時点」でのシステム要件を踏まえて設計・導入したとしても、そのシステムがいつまで有用なのかは、アーキテクチャやビジネスの変革スピードが激しい昨今では予想することは難しいと思います。

しかし、PowerEdge MX であればその変化に対応することができることは上記の通りですし、VMware Cloud Foundation と組み合わせることでシステムライフサイクル管理=既存システムの「縮小」や「削除」や、新しいコンポーネントを搭載したサーバコンポーネント群で新しいワークロード向けクラスタをデプロイすることが容易です。PowerEdge MX+ VMware Cloud Foundation は変革するシステム要件に対応するためのベストな組み合わせではないでしょうか!?  

図 7 : PowerEdge MX と Cloud Foundation を用いた柔軟性のある仮想環境

 

〇特殊ワークロード/システム要件に対応できる

特殊なワークロード/システム要件、例えば「アプリケーションと連携したデータ保護がしたい」 等の場合には、外部ディスクの利用が最適なシステムも存在するかと思います。

この様な要件がある場合にはやはりエンタープライズのストレージが最適ですが、Dell EMC には歴史と実績を誇るエンタープライズストレージ Symmetrix の血統を受け継ぐ PowerMax があります。この PowerMax も VMware Cloud Foundation との接続をサポートしています。

なお、VxRail も FC HBA を追加可能なので、PowerMax を接続することももちろん可能です。

さらに PowerEdge MX + PowerMax なら様々なコンポ―ネントと組み合わせることで特殊ワークロードへの対応もできますし、長期的なサポートアーキテクチャでもあるので相乗効果を生むことができます。そして、今後出てくるであろう NVMe Over Fabric であったとしても PowerEdge MX なら直接接続アーキテクチャでそのメリットを活かしきることができます。

今回の VMware Cloud Foundation のご紹介とは少し離れてしまいますが、PowerEdge MX 内のサーバコンポ―ネントをVMware Cloud Foundation 管理下におくものと、それ以外で混ぜて利用することも可能です。

例えば基本的には VMware Cloud Foundation で利用する基盤として運用しているが、データベース等の特定アプリケーションにおいて数台の物理サーバを準備しなければならない、と言う場合も多いのではないでしょうか。その様な時、PowerEdge MX であれば個別運用サーバを準備することなく、サーバリソースとしては 1 つのシステムとして運用をまとめることができます。

図 8 : PowerEdge MX とPowerMax の接続

 

まとめ

コンポーザブルサーバの PowerEdge MX と VMware Cloud Foundation を組みあわせることによるメリットはご理解頂けたでしょうか。PowerEdge MX に関しては、私どものブログでも全10話(予定)と言う熱い思いが溢れている記事もあるので、是非ご覧下さい。

図 9 : プライベートクラウド・ベストスターターキット

 

今回の連載を通して、Dell Technologies クラウドによるハイブリッドクラウドのビジョンから、VMware Cloud on VxRail ・VMware Cloud on PowerEdge MX 等の各製品・ソリューションをご紹介させて頂きました。今回の連載を読んで頂き、もし、具体的なお話をお伺いしたいというご要望がございましたら、是非、お気軽に弊社営業までお問い合わせ頂ければ幸いです。

<連載リンク>

第1回 ハイブリッドクラウドをより身近な存在に!~Dell Technologies Cloud~

第2回 VMware Cloud Foundation on VxRail から始めるオンプレクラウド

第3回 VMware Cloud Foundation on VxRail の構築と運用

第4回 次世代アーキテクチャのモジュラー型サーバの VCF での活用 ~PowerEdge MX のご紹介~

Deep Security 12.0リリース! VMware関連アップデートのご紹介(2)

Deep Security 12.0  VMware NSX-T環境におけるエージェントレス型セキュリティの実装概要

 

トレンドマイクロ VMware テクニカルアライアンス担当 栃沢です。

前回のブログで Trend Micro Deep Security™ 12.0(以降 Deep Security)のリリース概要と VMware 関連のアップデートについてご紹介しました。
今回は、その中でも特に大きなアップデートである VMware NSX-T® Data Center(以降 NSX-T Data Center)への対応について、技術的なポイントを踏まえてご紹介をしていきたいと思います。

 

改めて、“NSX-T Data Center への対応”の概要についておさらいしておきましょう。
<NSX-T Data Center 環境で Deep Security 12.0 が連携して提供できる機能>

  • NSX Manager & vCenter Server 連携による仮想マシン情報の取得
  • VMware ESXi™(以降 ESXi)に対して NSX-T Data Center を展開することで Deep Security Virtual Appliance(以降DSVA)によるエージェントレス型不正プログラム対策を提供 (対象となる仮想マシンは Windows OS のみ)
  • 不正プログラム対策イベント検出時の NSX Manager へのセキュリティタグの付与による分散ファイアウォールによる自動隔離の実装

なお、上記の連携ができるのは、Deep Security 12.0 (Deep Security 12.0 Update1 以降の利用を推奨)と NSX-T Data Center 2.4.1 以降の組み合わせです。また、ハイパーバイザは ESXi のみで、KVM には対応していません。

 

■ NSX-T Data Center 環境における Deep Security の配置

まず、NSX-T Data Center 環境において Deep Security がどのように配置されるのかを確認しておきましょう。

Deep Security においてエージェントレス側セキュリティを提供するためには DSVA を保護対象としたい各 ESXi へ配信をすることが必要になります。また、DSVA の配信は VMware NSX の仕様として個別 ESXi ホストごとへの配信はできず、クラスタ単位で行います。

ここで、VMware NSX Data Center for vSphere (以降はNSX Data Center for vSphere)をご存知な方は Guest Introspection も配信しないの? と思われるかもしれません。NSX-T Data Center では、仮想アプライアンスとしての Guest Introspection の配信をする代わりに ESXi ホストに導入される Ops Agent が 3rd Party 連携に必要な機能を提供する形になっています。

 

また、NSX-T Data Center 2.4 より NSX Manager に Controller が内蔵されたことにより、商用利用では NSX Manager を3台構築することが必要になりました(NSX Controller の仕様に依存)。この点も本番環境への導入時にはリソース面の確保など留意しておきたいポイントですね。

ちなみに、Deep Security Manager(以降 DSM)から NSX-T Data Center の NSX Manager の登録を行う際は NSX-T Data Center の NSX Manager で設定できる Cluster VIP を設定することが推奨されています。

 

 

そしてもう1つ。DSVA を配信する際には予めいくつか準備をしておく必要がある設定があります。

それがトランスポートゾーンの設定です。トランスポートゾーンを理解する上で必要な用語を以下に簡単にご紹介しておきます。

トランスポートゾーン
エージェントレス型セキュリティを提供(=DSVA を配信)したいクラスタに展開される仮想ネットワーク
トランスポートノード
NSX-T Data Center においてトラフィック転送を司るノード。トランスポートゾーンを展開したい ESXi ホスト(クラスタ)を指定
トランスポートノードプロファイル
トランスポートノードとして指定された ESXi ホスト(クラスタ)に対してトランスポートゾーンやそれに紐づくアップリンクポート、物理ポートなどを規定するためのプロファイル
N-VDS:NSX Virtual Distributed Switch
トランスポートノードでスイッチング機能を実行する NSX ソフトウェアコンポーネント、トランスポートノードプロファイルの中でアップリンクポートや ESXi ホストの物理 NIC などを設定

 

Deep Security を展開する観点から整理すると、DSVA で保護したい対象が所属する仮想ネットワークを “トランスポートゾーン” として指定し、その仮想ネットワークを展開したい ESXi ホスト(クラスタ)を “トランスポートノード” として指定します。

ESXi ホスト上で展開される仮想スイッチの設定は “トランスポートゾーンプロファイル” により行い、DSVA の展開は必ずトランスポートゾーンに所属している ESXi ホスト(クラスタ)を指定する必要があります。 “トランスポートゾーン” の設定がされていないとエージェントレス型セキュリティ(NSX-T Data Center では “エンドポイントの保護” と呼ぶ)を提供することができません。

また、上記設定を行うことによって、ESXi ホスト上に自動的に分散仮想スイッチ(vDS)が展開されます。NSX Manager から展開された分散仮想スイッチは vCenter Server から設定を変えることはできず、また、既存の分散仮想スイッチに対して NSX-T Data Center で提供するサービスを提供することもできませんので、設計、構築時には留意しておいてください。

 

 

■ NSX-T Data Center 環境における管理面でのポイント

実際の管理面でのポイントについても少し触れておきましょう。

  • NSX-T Data Center のサービスは NSX-T Data Center の NSX Manager から直接管理を行うため、vCenter Server を中心とした管理体系から NSX-T Data Center の NSX Manager GUI による管理へ変更
    → NSX-T Data Center の NSX Manager から vCenter Server をコンピュータノードとして登録します。
  • Deep Security での不正プログラム対策イベント検出時のセキュリティタグ付与による分散ファイアウォールでの自動隔離は NSX Data Center for vSphere 同様に可能
  • 各仮想マシンの NSX サービスステータスは NSX-T Data Center の NSX Manager で管理
    → vCenter Server では仮想マシンに対する NSX セキュリティグループやセキュリティタグは表示されなくなっています。また、それに伴って DSM 上でも NSX セキュリティグループやセキュリティタグのステータスは表示されなくなっています。

これは NSX-T Data Center が NSX Manage を中心に運用を行っていくことを前提に設計されて、vCenter Server だけでなく KVM や今後展開される他のハイパーバイザ、クラウドへの対応を見据えた変更なのだと思います。

 

また、Deep Security の連携において大きな影響がある部分としては、以下の点が挙げられます。

  • NSX-T Data Center セキュリティプロファイル (ポリシー) に対する Deep Security ポリシーの連携が未対応

従来、NSX Data Center for vSphere と Deep Security の連携では、NSX が提供するセキュリティポリシーのゲストイントロスペクションサービスで Deep Security が保持するポリシーを指定することで仮想マシンの生成時にゲストイントロスペクションサービスと同時に Deep Security のポリシーの有効化までを自動的に行うことができました。現時点(2019年8月時点)では、NSX-T Data Center の“サービスプロファイル“で Deep Security ポリシーを適用することはできません。

仮想デスクトップ環境でフローティング割り当てによる仮想マシンの生成を行っている場合には、サービスプロファイル側では ”Default (EBT) ” を設定し、Deep Security 側では vCenter Server 上で仮想マシンの生成を検出した際に DSM が該当の仮想マシンに対して自動的にポリシーを割り当てる ”イベントベースタスク”を合わせて設定しておくことでポリシー適用の自動化を図ることができます。

イベントベースタスクの詳細については Deep Security ヘルプセンターをご参照ください。

 

以上、Deep Security 12.0 と NSX-T Data Center 2.4.1 の連携についてご紹介しました。
最後に、実際の導入にあたっては、Deep Security 12.0 Update 1(8/9にリリース済み)からがVMware も含めてサポートする予定のビルドとなりますので、こちらをご利用いただくようにしてください。

(トレンドマイクロの互換性マトリックスでは Deep Security 12.0 から利用できるように記載されていますが、VMware の互換性に関するサポート承認もされる予定のバージョンは Deep Security 12.0 Update 1 からになる予定です。)

 

執筆者:

トレンドマイクロ株式会社
エンタープライズSE本部
セールスエンジニアリング部 サーバセキュリティチーム
シニアソリューションアーキテクト / VMware vExpert
栃沢 直樹(Tochizawa Naoki)

 

【Deep Security 12.0リリース! VMware関連アップデートのご紹介】

    1. Deep Security 12.0 リリース内容とVMwareソリューション関連のアップデート
    2. Deep Security 12.0 VMware NSX-T環境におけるエージェントレス型セキュリティの実装概要
    3. DSVAシームレスアップデートによるアップデートの簡素化

 

VMware Cloud Foundation on VxRail の構築と運用

Dell EMC で VxRail の製品技術担当をしている高橋岳です。

4 回シリーズで Dell EMC のクラウドソリューションと具体的な製品をご紹介していますが、今回は 3 回目となります。

前回は VMware Cloud Foundation on VxRail (以下、VCF on VxRail) の概要と特徴についてお話をいたしましたので今回は構築、運用にフォーカスをあててご説明をして行きたいと思います。

VMware Cloud Foundation on VxRail の構成条件

1. 前提条件

下記の条件がありますので、事前の確認をお願い致します。

  • 現行リリースでは、VCF on VxRail は新規構築のみで利用可能です。
  • 既存の VxRail クラスタを Workload Domain (アプリケーション稼働用クラスタ) として構成して、Management Domain (運用管理用クラスタ) のみを追加構築する様な構成は出来ません。
  • Workload Domain に既存/新設の vSAN Ready Node クラスタと VxRail クラスタを混在させることは出来ません。
  • VxRail 2 ノードクラスタ構成を VCF on VxRail として利用することは、現時点では出来ません。

2. ハードウェア

  • VCF on VxRail 構成であっても、VxRail 14G ベースの全てのモデル(E, P, V, S, Gシリーズ)が利用可能です。
  • 最小構成は Management Domain = 4ノード、Workload Domain = 4 ノードの組み合わせで計 8 ノード構成からとなります。

 

3. ネットワーク

通常の VCF と同様 Bring Your Own Network (BYON : ご自身での事前構築済みネットワーク) として、VCF で必要なネットワーク要件を満たすことが可能であれば、既存新設を問わず利用可能です。

但しスイッチの VxRail との接続要件として下記が要件となります。

  • IPv4,v6 ともサポートしていること
  • VxRail が接続されるポートで IPv6 マルチキャストが利用出来ること

→ VxRailクラスタではノード検出等の為に IPv6 マルチキャストを利用しています

  • 10GbE もしくは 25GbE の接続が可能であること
  • iDRAC を利用する場合は 1GbE の接続が可能であること

また VCF on VxRail として、下記も要件となります。

  • マルチキャスト (上述の VxRail クラスタの条件として)
  • ジャンボフレーム
  • Workload Domain スヌーピング & スヌーピングクエリア(推奨)
  • BGP (NSX Edge Gateway とピアー接続が必要な場合)
  • Hardware VTEP (マルチラックデプロイメントが必要な場合)

ネットワークスイッチについては上記をサポートしているものであれば、利用可能です。

弊社の Smart Fabric 対応スイッチも、もちろん利用可能です。

Smart Fabric の詳細については、次回の筆者である弊社石塚がまとめた Blog もぜひご参照下さい。

VxRail+Smart Fabric Service構成での導入 ~準備編~

 

4. ソフトウェア

VCF バージョン 3.7 から VCF on VxRail の対応は始まり、2019/8/5 現在での最新バージョンは 3.8 となります。

[VMware KB] Supported versions of VMware Cloud Foundation on VxRail (67854)

 

VCF on VxRail では構成出来る VxRail のバージョンと VCF のバージョンが対になっています。

例えば、2019 年 08 月時点での  VCF on VxRail の場合、

 

  • VxRailソフトウェア = 4.7.212
  • VCF = 3.8

の組み合わせで利用する形となります。

 

詳細はバージョン毎のリリースノート及び Build Of Materials (BOM) をご参照下さい。

VMware Cloud Foundation 3.8 on Dell EMC VxRail Release Notes

 

 

 

 

 

 

 

 

表 1 : VCF on VxRail 3.8 BOM

なお、VCF on VxRail 3.8 から Workload Domain での NSX-T の構成が可能になりました。

VCF on VxRailの構築

では、VCF on VxRail の構築手順を確認して行きましょう。まず VxRail で vCenter を構築する際には 2 種類の方法があります。

  • 内部 vCenter (Embedded vCenter) :

VxRail クラスタの vSAN データストア内に vCenter を構築する構成の事です。VxRail の標準的な vCenter 構築パターンです。

  • 外部 vCenter (External vCenter) :

通常の vSphere として vCenter を構築するのと同様、VxRail クラスタの外に vCenter を構築する構成の事です。既存の vCenter を運用しており、その管理配下に VxRail をデプロイする場合はこちらの構成になります。

 

 

 

 

 

 

 

 

図 1 : VxRail の vCenter 構造

 

上記の通り VxRail の構成には、”内部 vCenter” と “外部 vCenter” の 2 つの構成があることを前提に話を進めていきます。

おさらいとなりますが、VCF on VxRail ではオプションコンポーネントを含めて、下記の製品群が利用可能です。

 

図 2 : VCF on VxRail のコンポーネント

コアコンポーネントの初期デプロイとしての大きな構築の流れは、下記の通りです。

【VCF on VxRail の管理層の初期デプロイ】

  1. 事前要件を確認
  2. VCF の Management Domain として、内部 vCenter 構成で VxRail クラスタを構築
  3. VCF 要件に合わせて外部 vCenter 構成に変更
  4. VCF Cloud Builder 仮想マシンをデプロイ
  5. Cloud Builder を使って、VCF を構築(Bring Up)
  6. vCenter のライセンスを SDDC Manager に適用

 

【VCF on VxRail のサービス環境のデプロイ:運用】

  1. 外部 vCenter 構成として VxRail クラスタを Workload Domain としてデプロイ
  2. (必要に応じて) Workload Domain の削除

 

では、各手順を追ってご説明していきます。

【VCF on VxRail の管理層の初期デプロイ】

  1. 事前要件を確認:

VCF on VxRail を構築する上で必要なパラメータを全て確認し、お客様と決定して頂くフェーズです。Dell EMC で行う場合は、プロデプロイという構築サービスの中で対応する項目となります。下記項目を確認して行きます。

  • Management Domain, Workload Domain の構成決定
  • VCF の Bring Up 用構成シート (VCF Configuration Spreadsheet) の完成
  • VxRail ノードが VCF on VxRail で指定されたバージョンで初期イメージが展開されている事
  • 全てのネットワークスイッチがラッキングされ、ケーブリングが完了している事
  • DNS が適切にセットアップされている事
  • VXLAN のサブネットで DHCP サーバが適切にセットアップされている事

 

  1. VCF の Management Domain として、内部 vCenter 構成で VxRail クラスタを構築する:

Management Domain 用の VxRail クラスタをデプロイします。標準的な内部 vCenter 構成として構築します。VxRail の初期デプロイは VxRail Manager を初期構築ウィザード形式で利用しますが、この画面は日本語化も可能です。

本ブログでは詳細は割愛致しますが、弊社のパートナー様であれば、下記からデモをご確認頂けますので、ログイン後、”VxRail” とキーワード検索をしてみて下さい。

 

Dell EMC Demo Center

 

 

 

 

 

 

 

 

 

図 3 : VxRail クラスタの標準構築

 

  1. VCF 要件に合わせて外部 vCenter 構成に変更

構築した内部 vCenter を、外部 vCenter としてコンバートします。VxRail Manager 仮想マシンの中にコンバート用の Python スクリプトが用意されておりますので、そちらを実行します。

 

 

 

 

 

 

 

 

図 4 : 外部 vCenter 構成への変更
  1. VCF Cloud Builder 仮想マシンをデプロイ

Management Domain の外部 vCenter と連携して NSX や SDDC Manager 等を自動構築するために、VxRail 用の Cloud Builder を OVF からデプロイします。

図 5 : Cloud Builder for VxRail のデプロイ

 

  1. Cloud Builderを使って、VCF を構築(Bring Up)

vSpherevSAN 及び各種ハードウェアファームウェアのライフサイクル管理を行う VxRail Manager と連携する専用の Cloud Builder を使って残りの構成を進めて行きます。Cloud Builder は 2019 年 08 月時点では日本語化されていません。

  • Cloud Builder 起動後、完成させた Configuration Spreadsheet(Excel ファイル)をアップロードし設定の整合性を確認します

図 6 : Cloud Builder へ設定ファイルの読み込み
  • 設定内容の検証完了後、SDDC の設定(Bring Up)を行っていきます

PSC → SDDC Manager → NSX をデプロイし、VxRail Manager との連携後 Bring Up 完了となります。以降は SDDC Manager が利用可能になります。

 

 

 

 

 

 

 

 

 

図 7 : SDDC Bring Up プロセス

 

 

 

 

 

 

 

 

 

図 8 : SDDC Manager Dashboard

 

  1. 各種ライセンスキーを SDDC Manager から適用

Workload Domain 用の vCenter サーバ、vSAN、NSX-V、NSX-T (Workload Domain 用のみ) のライセンスを適用します。

 

ここまででデプロイされた Management Domain とこれから作成する Workload Domain の関係をオプション構成も含めた形で図にまとめます。

 

 

 

 

 

 

 

 

図 9 : VCF on VxRail Virtual infrastructure Workload Domain に NSX-V を使った構成サンプル

図 9 上部の  ”Management Workload Domain” の箱の中にあるコンポーネントの内、下のWorkload Domain1,2 と接続されている vCenter Server、NSX-V Manager 以外のものが構成完了した状態となります。

ここからは VCF としての運用フェーズとなり、お客様の環境に合わせてサービス用の VI(Virtual Infrastructure : 仮想基盤)Workload Domain を作成して行きます。

 

【VCF on VxRailのサービス環境のデプロイ:運用】

 

  1. 外部 vCenter 構成で VxRail クラスタを Workload Domain としてデプロイ

    • SDDC Manager 上部の “+ Workload Domain” をクリックし、“VI – VxRail Virtual Infrastructure Setup” を選択します。

 

 

 

 

 

 

 

図 10 :  Workload Domain の作成 #1
  • Workload Domain のパラメータを入力します。

 

 

 

 

 

 

図 11 :  Workload Domain の作成 #2 – パラメータ入力 –
  • 入力されたパラメータに従って、SDDC Manager は VxRail Manager と連携して VxRail クラスタと外部 vCenter、NSX のデプロイを実施します。最初に SDDC Manager が外部 vCenter をデプロイし、その後 VxRail クラスタを構築します。

 

 

 

 

 

 

 

図 12 : Workload Domain の作成 #3 –WLD用外部 vCenter デプロイ-
  • VxRail クラスタの構築後、SDDC Manager に作成した VxRail クラスタを認識させ NSX を展開します。

 

 

 

 

 

 

 

 

図 13 :  Workload ドメインの作成 #4 –SDDC Manager によるデプロイ-

 

  • NSX の展開が完了すると、SDDC Manager からは運用可能な Workload Domain として認識されます。

 

 

 

 

 

 

 

 

図 14 : Workload ドメインの作成 #5 – デプロイ完了-

 

  1. (必要に応じて) Workload Domain の削除

何らかの理由で Workload Domain を削除する場合も、SDDC Manager からオペレーション可能です。

  • SDDC Manager の左ペインから Workload Domains -> 右フィールド内の Virtual Infrastructure 下部の  “View DETAILS” を選択します
  • 削除したい Workload Domain を選択します
  • 確認のウィンドウが出て来ます。対象の Workload Domain 名を入力の上、“DELETE WORKLOAD DOMAIN” ボタンを押します

 

 

 

 

 

 

 

図 15 : Workload Domain の削除 #1

 

  • Workload Domain 削除のオペレーションが完了後、対象の Workload Domain が表示から消え削除が完了します

 

 

 

 

 

 

 

 

図 16 : Workload Domain の削除 #2 –削除のプロセス-

Workload Domain 全体の削除について説明致しましたが、Workload Domain 内でのノード及び VxRail クラスタの拡張、削除も SDDC Manager から作業可能です。

 

まとめ

 

VCF を VxRail と合わせて利用することで、SDDC 環境を利用する上での利便性、管理性が格段に向上することをご説明してきました。

ポイントとしては、下記になります。

 

  • VCF を使って自動で標準的な SDDC 環境をシンプルに短期間でデプロイ
    • VxRail の標準構築プロセスで短時間でのオペレーションが可能

 

  • VxRail 上に構築する事で、ファームウェアを含めたフルスタック なライフサイクルマネジメントが可能に
    • VCF on VxRail であれば SDDC 環境全体のライフサイクル管理が可能

 

  •  SDDC Manager が VxRail Manager と連携することで VCF on VxRail が動作
    • Dell EMC と VMware との共同開発で、管理ツールも密結合しシームレスな連携を実現

 

VxRail を使う事によるメリットを是非感じて頂きたく思います。

ご興味がございましたら弊社 Dell EMC もしくはパートナー様にお問い合わせ頂けますようお願い致します。

長文にお付き合い頂き、誠に有り難うございました。

<連載リンク>

第1回 ハイブリッドクラウドをより身近な存在に!~Dell Technologies Cloud~

第2回 VMware Cloud Foundation on VxRail から始めるオンプレクラウド

第3回 VMware Cloud Foundation on VxRail の構築と運用

第4回 次世代アーキテクチャのモジュラー型サーバの VCF での活用 ~PowerEdge MX のご紹介~

Deep Security 12.0リリース! VMware 関連アップデートのご紹介(1)

Deep Security 12.0 リリース内容とVMwareソリューション関連のアップデート

 

トレンドマイクロ VMware テクニカルアライアンス担当 栃沢です。

 

2019年6月に総合サーバセキュリティ製品である Trend Micro Deep Security™ の最新バージョン12.0 がリリースされました。
今回から3回に分けて Deep Security 12.0 のリリースの内容と VMware 製品との連携に関わるアップデートについてご紹介をしていきたいと思います。

 

ハイブリッドクラウドセキュリティを実現する Trend Micro Deep Security™

まず、改めて Deep Security の特徴を簡単にご紹介します。
Deep Security は、物理、仮想化、クラウドなどの環境にかかわらずサーバセキュリティに必要な機能を提供することができるセキュリティソリューションです。

 

セキュリティの統合管理を行う Deep Security Manager(DSM:Deep Security における管理マネージャ)は、VMware vCenter Server (以降、vCenter Server) や AWS マネジメントコンソールなどのインフラ基盤と連携することが可能です。これは IT 管理者にとっては非常に有用な機能で、仮想マシン(またはインスタンス)が生成されたことをリアルタイムに検出し、必要に応じて予め設定をしておいたセキュリティ保護を自動的に適用することを可能とします。「セキュリティ適用の可視化、統制」と「運用の簡素化」を両立でき、VMware 環境では vCenter Server さえあれば、連携が可能となりますので、ぜひ試していただきたいと思います。

 

そして VMware vSphere 環境では、VMware NSX Data Center と組み合わせて利用することで「サーバ単位」で適切なアクセス制御とサーバ要塞化を実現することが可能となります。

 

Deep Security 12.0 新機能とアップデート

次に Deep Security 12.0 で追加された新機能・アップデート内容を紹介します。
Deep Security 12.0は、Deep Security 11.1~11.3(Feature Release)でアップデートされた内容と Deep Security 12.0 で新たに追加された新機能、アップデートで構成されています。
アップデートのポイントは大きく2つに分けられます。

  • コンテナなど新しい環境/技術への対応
  • セキュリティオートメーションの促進

主なアップデートの内容は以下の通りです。

詳細はこちらをご参照ください。

 

Deep Security12.0  VMware 関連アップデート

そしてここから本題である Deep Security 12.0 における VMware 関連のアップデートをご紹介していきます。
VMware ソリューションのアップデートは、以下の2つになります。

  • VMware NSX-T Data Center (以降、NSX-T Data Center) 連携によるエージェントレス型セキュリティの実装
  • DSVA バージョンアップ手順の大幅削減(シームレスアップデート)

それぞれについて、アップデートの概要を以下にご紹介していきます。

 

■ NSX-T Data Center 連携によるエージェントレス型セキュリティの実装

今回のアップデートの目玉と言ってもいいのがこの「NSX-T Data Center 連携」です。従来、VMware NSX Data Center for vSphere (以降は、NSX Data Center for vSpehre) 環境では、セキュリティVM である Deep Security Virtual Appliance(DSVA)を VMware ESXi (以降、ESXi)ホストに配信することで、エージェントレス型のセキュリティ対策を提供してきました。VMware Horizon による仮想デスクトップ環境や Windows サーバに対するエージェントレスでの不正プログラム対策(ウイルス対策)のために多くのお客様で利用を頂いておりますが、Deep Security 12.0 から NSX-T Data Center 環境でも利用して頂けるようになりました。

NSX-T Data Center 環境で Deep Security 12.0 が連携して提供できる機能は以下になります。

  • NSX Manager & vCenter Server 連携による仮想マシン情報の取得
  • ESXi に対して NSX-T Data Center を展開することで DSVA によるエージェントレス型不正プログラム対策を提供 (対象となる仮想マシンは Windows OSのみ)
  • 不正プログラム対策イベント検出時の NSX Manager へのセキュリティタグの付与による分散ファイアウォールによる自動隔離の実装

 

DSVA は NSX Data Center for vSphere と同様に各 ESXi ホストに配信し、配信する際のパッケージ(DSVA の OVF ファイル)は共通化されています。一方で、NSX Data Center for vSphere と NSX-T Data Center では構成要件や実装方法が異なるため、実際の導入にあたっては NSX Data Center for vSphere のイメージのままだと理解しづらい点があるので留意が必要です。Deep Security の観点から NSX Data Center for vSphere と NSX-T Data Center での相違点を整理しておきましょう。

  • セキュリティ仮想アプライアンス(SVM)としての Guest Introspection 廃止
    • NSX-T Data Center の NSX Manager から各 ESXi ホストに展開される Guest Introspection Service によってエージェントレス型ウイルス対策(エンドポイントセキュリティ)を提供
  • Guest Introspection Service が利用可能(=DSVAが展開可能)なハイパーバイザは ESXi のみ(KVMは対象外)
  • NSX-T Data Center のサービスは NSX-T Data Center の NSX Manager から直接管理を行うため、vCenter Server を中心とした管理体系から NSX-T Data Center の NSX Manager GUI による管理へ変更
    • NSX-T Data Center の NSX Manager から vCenter Server をノード登録
  • 各仮想マシンの NSX サービスステータスは NSX-T Data Center の NSX Managerで管理
    • vCenter Server では仮想マシンの NSX セキュリティグループやセキュリティタグは表示できない
  • NSX-T Data Center セキュリティプロファイル(ポリシー)に対する Deep Security ポリシーの連携は未対応
  • NSX-T  Data Center 2.4 より NSX Manager に Controller が内蔵されたことにより、商用利用では NSX Manager を 3台構築することが必要(NSX Controller の仕様に依存)
    • DSM からの登録は NSX-T Data Center の NSX Manager Cluster VIP を設定することを推奨

 

■ DSVA バージョンアップ手順の大幅削減(シームレスアップデート)

Deep Security12.0 から NSX Data Center for vSphere 環境において、DSM の UI から DSVA の OVF をアップグレードできるようになりました。
従来、配信済の DSVA の OVF ファイルも含めたバージョンアップを行う際には、vCenter Server の“ネットワークとセキュリティ”から該当するクラスタに所属するホスト上の DSVA すべてを一度削除し、新しい OVF ファイルから再デプロイする必要がありました。新たに実装されたシームレスアップデートにより、DSM GUI から DSVA が配信されているホストに対してセキュリティアプライアンスのアップグレードを実行することが可能になりました。これによってホストごとに順次アップデートすることが可能となると同時に、セキュリティ機能の停止もアップグレード中の一時的なものに短縮することができます。より簡易にかつサービス影響をより少なく行うための選択肢が増えたことになります。
※従来の vCenter Server からの DSVA の再配信も行うことは可能です。
※シームレスアップデートについては、NSX-T Data Center 環境では実行できません。

次回からは今回ご紹介したアップデートについてもう少し詳しくご紹介をしていきたいと思います。

 

執筆者:

トレンドマイクロ株式会社
エンタープライズSE本部
セールスエンジニアリング部 サーバセキュリティチーム
シニアソリューションアーキテクト / VMware vExpert
栃沢 直樹(Tochizawa Naoki)

 

【Deep Security 12.0リリース! VMware関連アップデートのご紹介】

    1. Deep Security 12.0 リリース内容とVMwareソリューション関連のアップデート
    2. Deep Security 12.0 VMware NSX-T環境におけるエージェントレス型セキュリティの実装概要
    3. DSVAシームレスアップデートによるアップデートの簡素化

 

VMware Cloud Foundation on VxRailから始めるオンプレクラウド

 

Dell EMC で VxRail の製品技術を担当している高橋です。Japan Cloud Infrastructure Blog で初めて寄稿させて頂きますので、よろしくお願い致します。

4 回シリーズで Dell EMC のクラウドソリューションと具体的な製品をご紹介していますが、2 回目の今回では VMware Cloud Foundation on VxRail  (以下、VCF on VxRail) のご紹介を致します。

 

Dell EMC HCI 製品の中の VxRail

 

Dell EMC では広範なハイパーコンバージドインフラストラクチャ (以下、 HCI) ソリューションを取りそろえておりますが、グループ会社の枠組みである Dell テクノロジーズとして完結しているソリューションをまとめると下記の図になります。

 

図 1:Dell EMC の HCI ポートフォリオ

 

大きく 2 つの流れがあり、弊社開発のソフトウェアデファインドストレージ (以下、SDS) である VxFlex OS を利用したソリューションと VMware vSAN (以下、vSAN) を利用したソリューションがあります。

vSAN ベースの製品としては Power Edge 版の vSAN Ready Node と vSAN HCI アプライアンスの VxRail があり、VxRail は VMware 社との共同開発製品として Dell テクノロジーズの SDDC ソリューションの中核をなす製品です。また現時点では北米でのみ発表済みですが、Top of Rack スイッチを含めた統合型ラックタイプ HCI 製品として、VxRail Integrated Racks も日本市場への投入を予定しています。

 

ハードウェア構成は全て弊社 14 世代の Power Edge サーバをベースにしており、3 種類の筐体で 5 モデルがあります。

注:ここでのノードは、1 ESXi ホストもしくは 1 物理サーバと同義です

 

  1. 1U1 ノード構成:

    1.  ロープロファイルで汎用性の高い E シリーズ(R640 ベース)
  2. 2U1 ノード構成:

    1.  汎用性の高さとストレージ容量確保を両立している P シリーズ(R740 ベース)
    2.  3D-VDI 等に必要な NVIDIA 社の vGPU カードを搭載可能な V シリーズ(R740 ベース)
    3.  5 インチ大容量 HDD を利用しコストパフォーマンス良くストレージ容量集約可能な S シリーズ(R740xd ベース)
  3. 2U4ノード構成:

    1.  1U ハーフラックサーバを 2U 筐体内に 4 台収めた高密度コンピュート集約型の G シリーズ(C6420 ベース)

 

Power Edge とほぼ同様の幅広い選択肢の CPU, メモリ、ストレージデバイス(NVMe キャッシュ SSD を含む)、ネットワークカード等から、お客様に最適な組み合わせを選択することが可能です。

 

 

図 2:14世代 Power Edge ベースの VxRail 製品ラインナップ

 

 

VxRail の特徴

 

VxRail の特徴はいくつかあります。

1: 導入、増設がシンプル

  • プリインストールされた初期設定用 vSphere、vSAN 環境に、パラメータシート情報から作成した JSON ファイルを読み込む、またはウィザード形式で入力することでセットアップは 1 時間程度で完了。デプロイ時間の大幅な短縮を実現
  • 増設は同じ L2 セグメント上に新規ノードを設置すれば、既存 VxRail クラスタが新規ノードを認識し数クリック、10 分程度でノード追加が完了

2: サポートがシンプル

  • vSphere/vSAN から VxRail ハードウェア、更に Smart Fabric 対応 Dell EMC スイッチまで VxRail 担当サポートが一元窓口となり保守対応
  • VxRail 上の VMware 製品で問題エスカレーションが必要な場合でも、VxRail 担当サポートが VMware サポートと直接連携しお客様にご回答
  • 障害解析に必要な初期のログは、ハードウェア及び vSphere 情報とも vCenterの 「ログバンドルの作成」 から生成可能
  • プロサポートプラス契約で、VxRail アップグレードをサポート担当者がリモートからご支援可能。万一の障害発生の際にもサポートエンジニアがすぐに対応を開始可能なため安心

3: 運用がシンプル

  • VxRail HCI システムソフトウェアが vCenter と連携し、運用は vCenter から実施
  • vSphere、vSAN、各種ファームウェアがパッケージ化された VxRail HCI システムソフトウェアで、ワンクリックアップデート可能 (他社 HCI 製品と異なり、エンベデッド vCenter(vSAN データストア内に vCenter を配置)構成をした場合には、VCSA, PSC を含めてアップデートを実施可能)
  • Dell EMC の Smart Fabric 対応スイッチと組み合わせて利用すると、VLAN 変更など日常的なネットワーク運用も vCenter 経由で実施可能

 

特に “運用がシンプル” に関してですが、最新 VxRail 4.7 環境では vSphere 6.7/vSAN 6.7 ソフトウェアと BIOS, RAID カード、NIC 等のハードウェア用ファームウェアをパッケージ化した VxRail HCI システムソフトウェアを提供する事で、これまでお客様自身で行って頂いていた製品同士の組み合わせ検証を不要にしています。Dell EMC と VMware さんの共同開発だからこそ、vSphere/vSAN の最新アップデート、パッチ等のリリースを細かく追随し、各コンポーネントとの最適な組み合わせ検証を行った上でリリースします。最新パッケージを適用すると VxRail クラスタ全体が最新で最適なソフトウェア状態なり、運用での時間コスト削減に繋がるというメリットを享受できるのです。

 

図 3:運用での時間コストも削減

 

 

またアプライアンスなので、VxRail HCI システムソフトウェアのワンクリックアップデートやクラスタの増設や機器の入替等も vCenter 内の VxRail 管理用画面からシンプルなオペレーションで実行可能です。

 

図 4:vCenter に統合された VxRail の管理画面

 

VxRail と vCenter を通じた VMware ソフトウェアとのイイ関係

 

これらの連携を実現しているのは、VxRail クラスタを管理している VxRail Manager と vCenter との親密な関係にある事がカギとなっています。VxRail 4.5 以前の環境をご存じの方は、「あれ?なんで VxRail Manager の話が出てこない???」 と思っていらしたかもしれません。VxRail Manager  は VxRail クラスタ管理用の仮想マシンとして VxRail 4.7 環境でも存在していますが、vCenter プラグイン化したことでメインのユーザーインターフェースとして利用をする事が無くなりました。

vCenter プラグイン化の本質は他のアプリケーションとの連携を REST API 経由で可能にしたことです。このことで VCF と VxRail を繋いだ VCF on VxRail の構成が実現可能になりました。すなわちVCF のコンポーネントでもある vRealize OperationsvRealize Automation 等、vRealize Suite の製品群との連携も可能になったのです。

 

 

図 5:VxRail と vCenter の透過的な運用性

 

 

このシリーズの第 1 回で弊社吉田の説明もありましたが、VCF は vSphere、vSAN、NSX の各コンポーネントを標準化し、ライフサイクルマネージャー (以下、LCM) でシステム全体のライフサイクル管理を実施することで、SDDC としての自動運用を実現するソリューションです。標準化されたプロセスで仮想環境全体をデプロイし、仮想環境を安全かつセキュアにアップデートして行くことを自動化し、管理者が行っていたインフラレイヤーの組み合わせ検証にかける手間と時間から解放してくれます。SDDC ソフトウェアの自動インストールでは Cloud Builder が、設定及び LCM は SDDC Manager がこれらを実現します。

 

 

図 6:フルスタックインテグレーション

 

 

ですが、一つだけ、一般的な VCF 環境ではカバーできない部分があります。それがハードウェアのファームウェア管理です。ESXi をアップデートする際に使用しているサーバの BIOS バージョンの問題でそのままアップデート出来なかった、セキュリティホールの対応のために VIB をアップデートしようとしたが、物理 NIC のファームウェアバージョンのアップデートも必要になってしまった、このような経験をされた管理者の方も多くいらっしゃると思います。VCF on VxRail の環境はハードウェアからソフトウェアまで本当の意味でフルスタックなインフラの自動運用をご提供し、管理者の方の手間を極小化できるように致します。

 

 

VCF on VxRail のマネージメント全体像(図7)をベースに、具体的なコンポーネント管理をご説明致します。

 

図 7:VCF on VxRailのマネージメント全体像

 

VxRail Manager は vSphere、vSAN 及び HCI ハードウェアのデプロイ、構成、増設管理、ファームウェア管理、パッチ適用とアップグレードを行います。VCF on VxRail を構成する場合は、VCF のワークロードドメインは VxRail で言うところの外部 vCenter 構成となり VxRail Manager の管理配下ではなくなるところがポイントです。

VCF の管理ツールである SDDC Manager は vCenter と NSX を直接管理し VxRail クラスタの管理の為 VxRail Manager と API 連携致します。VCF としての LCM が発生した場合、SDDC Manager からみた vSphere、vSAN の管理は VxRail Manager を介して行われます。NSX や vCenter の管理はSDDC Manager が直接行います。これらの連携によって、SDDC Manager 経由でファームウェアを含めたライフサイクルマネジメントを実現しているのです。

 

まとめ

 

ここまでの説明で、VCF on VxRail を利用するメリットと構成概要が明確になってきたと思いますので、簡単に要点をまとめておきます。

  • VCF を使って自動で標準的な SDDC 環境をシンプルに短期間でデプロイ
  • VxRail 上に構築する事で、ファームウェアを含めたフルスタック なライフサイクル管理が可能
  • SDDC Manager が VxRail Manager と連携することで VCF on VxRail が動作

 

では実際に VCF on VxRail を構築、運用する方法について、どうなっているのでしょうか。

こちらを第 3 回目でご説明していこうと思います。

 

図 8:VCF on VxRailを実現するコンポーネント

 

=============

<連載リンク>

第1回 ハイブリッドクラウドをより身近な存在に!~Dell Technologies Cloud~

第2回 VMware Cloud Foundation on VxRailから始めるオンプレクラウド

第3回 VMware Cloud Foundation on VxRailの構築と運用

第4回 次世代アーキテクチャのモジュラー型サーバのVCFでの活用 ~PowerEdge MXのご紹介~

=============

 

ハイブリッドクラウドをより身近な存在に!

 

 

 

ハイブリッドクラウドの新しい選択肢!

~Dell Technologies Cloud~

こんにちは。Dell EMC でクラウドソリューションを担当している吉田尚壮です。今回から 4 回に渡り、この場をお借りして Dell EMC のクラウドソリューションと具体的な製品について、弊社の各専門家よりご紹介します。

 

ハイブリッドクラウドを促進するインフラ製品を強化!

 

これまで Dell EMC は VMware 製品とのインテグレーションを積極的に進めてきました。さらに今後は VMware が掲げるクラウドのビジョンにアラインする形でハイブリッドクラウド化を支援する製品やサービスを強化しました。

 

 

 

 

 

 

 

 

 

図 1 : Dell EMC はエッジとプライベートクラウドに注力

 

その最初の取り組みとして、VMware Cloud Foundation(以下 VCF)とのインテグレーションを強化したインフラ製品を増やしました。今後も新しいサービスを提供する予定がありますが、まずはその主役である VCF について簡単におさらいしておきましょう。

 

これまでの導入や運用手法をガラッと変える新基準プラットフォーム!

VCF は、従来のインフラ導入や運用手法を一変させるような新しい価値を提供する SDDC プラットフォームです。VCF を採用すれば、SDDC 環境の構築作業を簡素化し、作業時間も大幅に短縮できます。それを実現するコンポーネントが「SDDC Manager」です(図 2)。

 

 

 

 

 

 

 

図 2 : VMware Cloud Foundation の主要コンポーネント

 

SDDC Manager は、VCF の主要コンポーネントの一つで、VMware の各種ソフトウエアのインストールと構成を管理者に代わって自動的に処理してくれます。例えば、新しく SDDC 環境を構築するシーンを考えてみましょう。これまでは、マニュアルで vCentervSpherevSANNSX をそれぞれインストールしてから設定するという作業が必要でした。しかし、SDDC Manager を利用すれば、簡単な操作で完了します。SDDC Manager のダッシュボード(図3)から使用可能なホストを選択したのち、ウィザードに従って必要なパラメータを入力し、実行ボタンをクリックするだけです。あとは自動的にインストールと設定を処理してくれます。

 

 

 

 

 

 

 

 

 

図 3 : リソースの使用状況と構成が把握できる「SDDC Manager」のダッシュボード画面サンプル

 

同様に、vRealize OperationsvRealize Automation などのインストール作業も SDDC Manager から実行できます(図4)。インストールの処理が自動化されることは、管理者にとって時間の節約だけではなく、作業が失敗するリスクを低減させるメリットもあります!

 

 

 

 

 

 

 

 

図 4 : SDDC Manager から vRealize Suite 関連ソフトウェアを展開する際の画面サンプル

 

これで塩漬けから脱却!SDDC環境を常に健康な状態で維持できる!

 

もう一つ、VCF を採用するメリットがあります。最近、ソフトウェアの定期的なアップデートは必須だと言われるようになりました。ソフトウエア機能の拡張や新機能追加の頻度が多いことが一因と言えますが、最大の理由はセキュリティの担保です。攻撃手法が巧妙化しているサイバー攻撃からシステムを守るために、管理者はソフトウェアの脆弱性に対して迅速に処置する必要に迫られています。

 

しかし、ソフトウェアのアップデートとパッチ適用作業は多くの管理者にとって大きな悩みでした。製品ごとに互換性と作業手順をチェックしなければならず、マニュアル操作による面倒なアップデート作業が必要だからです。また、安全に作業を遂行するためには事前にテストする必要があるなど、容易に準備を進めることができないため、不本意ながら結局塩漬けにするケースが多かったと思います。

 

ご安心ください。VCF ならこの悩みが一気に解決します!VCF には VMware 製品のライフサイクル管理機能が標準搭載されているので、簡単な操作でアップデート作業を完了できます!

 

 

 

 

 

 

 

図 5 :  SDDC Managerのダッシュボード(アップデート処理の確認)画面サンプル

 

操作はとても簡単です。SDDC Manager のダッシュボードからアップデート対象の環境を選択し、アップデートの内容を確認します(図5)。その後、環境の健全性をチェックしてから、問題なければそのままアップデートを実行します。処理は自動化かつオンラインで実行されるので管理者の負担が軽減されますし、当然作業が失敗するリスクも回避できます。ちなみに、アップデート処理はスケジュールを設定しておいて、任意のタイミングで実行させることもできます。

 

VCFの価値を最大化するのがハイパーコンバージドインフラ!

 

このように理想的な SDDC 環境を提供してくれる VCF ですが、どんなハードウエア製品と組み合わせるのが良いのでしょう?その答えは「ハイパーコンバージドインフラストラクチャ (以下HCI)」です!Dell EMC の HCI 製品である「VxRail」は、予め vSphere がバンドルされた状態でデータセンターに搬入されます。それをラッキングして電源投入した後、数十分で vSphere と vSAN を構成し、vCenter にアクセスできるようになります。納品直後から使えるので、構築作業に対する管理者の工数は殆ど考慮する必要はありません。さらに、VxRail はハードウエア層およびバンドルされているソフトウエア(vSphere や vSAN など)を対象としたライフサイクル管理機能が標準装備されています。つまり、物理ホストから vSphere までのアップデート作業は VCF と同じように自動的に処理できるのです(図6)!

 

 

 

 

 

 

 

図 6 :  究極の SDDC プラットフォーム「VCF on VxRail」

 

この HCI 製品「VxRail」と VCF を組み合わせば、ハードウエア層を含めた SDDC 環境のライフサイクル管理が理想的な形で維持できます。まさに、最強の組み合わせと言えるでしょう!Dell EMC は、VCF と VxRail を組み合わせて「VCF on VxRail」として販売しています。この詳細は次の投稿で詳しくご紹介します。

 

大容量ストレージなど、あらゆるニーズにも対応!

 

IT の多くのワークロードは、HCI と VCF の組み合わせで構成される SDDC 環境でカバーすることができるでしょう。しかし、お客様によっては「一度構築した環境で 3 年間は維持するのでホスト(ハードウエアリソース)の拡張性は要らない」とか「VCF は導入したいがハードウエア製品はこちらで選びたい」、または「VCF 環境で大容量ストレージも併用したい」というご要望も実際に存在します。

 

これらのご要件に対応するため、Dell EMC は VCF が使える製品ラインナップを増やしていきます(図7)。具体的には、VCF をバンドルしたコンバージドインフラ製品、およびサーバー、ストレージ、ネットワーク製品と VCF を個別に組み合わせたリファレンスアーキテクチャを提供します。例えば Dell EMC が提供するモジュラー型サーバー(PowerEdge MX シリーズ)と VCF を組み合わせれば、ソフトウェアとハードウェアの両面で統合管理を実現できます。この辺りの詳細は、本連載の後半でご紹介します。

 

 

 

 

 

 

 

図 7 :  VCF をベースとしたインフラ製品ラインナップ

 

管理者不在のエッジもカバー!

 

更に、Dell EMC はエッジまで VCF の価値を届ける取り組みも進めます!VMware が 2018 年に発表した「Project Dimension」 をご存知でしょうか?これは、SDDC を搭載したコンピュートリソースをエッジに提供するフルマネージドサービスの開発プロジェクト名です。それを世界で初めてVMware と協業してサービス化しようとしているのが Dell EMC なのです!このサービスは「VMware Cloud on Dell EMC」という名称で 2019 年の下期から北米にてリリース予定です。

 

 

 

 

 

 

 

 

 

図 8 :  SDDC をクラウド消費モデルで調達する新しいサービス「VMware Cloud on Dell EMC」

 

お客様がこのサービスを利用する流れをご紹介します。お客様は VMware が提供する本サービスのダッシュボードから必要なコンピュートリソースを選択して、それを配備する場所を指定します。次に注文ボタンをクリックすれば、数週間後に指定した場所に SDDC が配備され、使用できる状態になります。

 

尚、選択するコンピュートリソースとは、前述した VCF と VxRail に SD-WAN (VMware SD-WAN by VeloCloud) を搭載したネットワーク製品の組み合わせであり、SDDC のコンピュートリソースとして予めパッケージ化されて提供されます。

 

お客様が調達したコンピュートリソースは、管理コンソールから一元的に管理できます(図8)。尚、ハードウエアとソフトウエアのメンテナンスは、VMware と Dell EMC がサービスの一環として実施します(図9)。「VMware Cloud on Dell EMC」は、既存データセンターも対象とするサービスなので、新しいコンピュートリソースの調達方法として注目されるでしょう。

 

 

 

 

 

 

 

 

 

図 9 : 「VMware Cloud on Dell EMC」のサービス内容

 

ハイブリッドクラウドにご興味があれば、Dell EMC にご相談を!

 

Dell EMC は、ここでご紹介した製品やサービスをまとめて「Dell Technologies Cloud」とい名称で展開しています。VMware のクラウドに対するビジョンにアラインして製品やサービスに落とし込み、ハイブリッドクラウドの現実解としてお客様に提供しています。ご興味があれば是非とも Dell EMC にお声がけください!

 

 

 

 

 

 

 

図 10 :  ハイブリッドクラウドを実現するサービスと製品を包含する「Dell Technologies Cloud」

 

次回は、技術面から「VCF on VxRail」に関して詳しくご紹介します。

 

<連載リンク>

第1回 ハイブリッドクラウドの新しい選択肢!~Dell Technologies Cloud~

第2回 VMware Cloud Foundation on VxRailから始めるオンプレクラウド

第3回 VCF on VxRailの構築と運用

第4回 次世代アーキテクチャのモジュラー型サーバのVCFでの活用 ~PowerEdge MXのご紹介~

 

StorageHub リファレンスアーキテクチャのご紹介・vSphere/vSAN オンラインセミナー実施のお知らせ (2019年07月)

VMware パートナーチームの内野です。

皆様が新しいシステムを構築・提案される際に実際に上に乗るアプリケーションでどの程度、パフォーマンスが出るのかある程度、事前に把握する必要があると思います。

その際に、もちろん、物理的な機器を準備して、実際にアプリケーションをインストールおよび検証の上、パフォーマンスを確認する。という事も非常に重要なことだと思っていますが、出来れば、検証する前に検証するための推奨構成 (リファレンスアーキテクチャ) を事前に確認できたら。と思う方は多いのではないでしょうか。

VMware では、下記の Storage Hub リファレンスアーキテクチャーというページで各アプリケーションメーカー様や用途、業界向けの推奨構成一覧をまとめているページをご用意させて頂いております。

https://storagehub.vmware.com/t/vmware-vsan/reference-architecture/

この中で “Oracle and MySQL” をアプリケーションとして載せる場合の vSphere & vSAN の構成例やリファレンスアーキテクチャ、”Microsoft 社” の SQL Server や MS-Exchange を構築する場合の vSphere & vSAN としての構成例やパフォーマンス結果等を事前に確認することが可能です。

 

 

今回は、全ての情報をご紹介することはできませんが、例えば、データベースと言っても数多くのデータベース製品がございます。StorageHub の中の情報では、Oracle 社の Oracle データベース (12c) 、My SQL データベース、Microsoft 社の SQL Server や Mongo データベースのパフォーマンス情報等が様々な形で掲載されておりますので、色々なシチュエーションに応じた情報をご準備させて頂いております。

 

 

Oracle データベースのパフォーマンスデータの例

 

 

My SQL データベースのパフォーマンスデータの例

 

 

SQL Server データベースのパフォーマンスデータの例

 

 

Mongo データベースのパフォーマンスデータの例

 

 

パフォーマンスデータはハードウェア構成やソフトウェア構成、テスト方法等も正しく確認しないと想定しているシステムの要求と異なる結果になってしまう事もあると思いますが、Storage Hub では、ハードウェア構成やソフトウェア構成(バージョン等)、テストツール等の実行方法の記載もございますので、是非、参考にして頂ければ幸いです。

なお、上記でもご紹介している VMware vSAN に関して、2019 年 7 月にオンラインセミナーを実施させて頂くこととなりました。

(注意 : 上記、アプリケーションのリファレンスアーキテクチャ等の詳細に関する内容はオンラインセミナーでは含まれておりませんのでご注意下さい)

今回は、下記の 3 つのオンラインセミナーを実施させて頂きます。

 

外部ストレージはもう古い!! 3階層から VMware vSAN HCI への移行がもたらす効果

vSphere / vSAN オンラインセミナー 2019#4

最近では、これまでハイエンドストレージで稼働していた重要な業務が VMware vSAN をベースとした HCI に移行されている事例がいくつもあり、移行されたお客様は HCI のメリットをご体感いただいています。どんなお客様が、どのような課題を従来環境に抱えていて、それを VMware vSAN HCI がどのように解決したのか? “にわかに信じがたい、嘘のような本当の話” を実例を用いてお伝えします。

対象 : パートナー企業様、エンドユーザー様
※競合企業、もしくは対象外と判断させていただいた方は、ご遠慮いただく場合がございます。

主催 : ヴイエムウェア株式会社

日時: 2019年 07 月 12 日(金) 12:00-13:00 (11:50 から受付開始)

費用: 無償

申し込み : こちらよりお申込みください。

講演者 : ヴイエムウェア株式会社

■ セミナー目次 :
=============

12:00-12:50

1. VMware vSAN 概要紹介
2. 3階層構成の課題
3. VMware vSAN 導入までの検討事項
4. VMware vSAN 導入効果

12:50-13:00

QA

 

Hyper-V 環境からの vSphere 環境への移行手法ご紹介

vSphere / vSAN オンラインセミナー 2019#5

Windows Server 2008 R2 の延長サポート期間が 2020 年 01 月 14 日と迫ってきております。次期仮想基盤として vSphere/vSAN を用いた最新 HCI 環境をご検討頂いている方向けに Hyper-V から vSphere 基盤への移行方法に関してご紹介します。

対象 : パートナー企業様、エンドユーザー様
※競合企業、もしくは対象外と判断させていただいた方は、ご遠慮いただく場合がございます。

主催 : ヴイエムウェア株式会社

日時: 2019年 07 月 17 日(水) 12:00-13:00 (11:50 から受付開始)

費用: 無償

申し込み : こちらよりお申込みください。

講演者 : ヴイエムウェア株式会社

■ セミナー目次 :
=============

12:00-12:50

1. HCI 最新情報ご紹介
2. VMware vSAN 概要紹介
3. Hyper-V 環境からの移行方法に関して

12:50-13:00

QA

 

 

 

HCI 導入シェア No1 : VMware vSAN 導入事例紹介

vSphere / vSAN オンラインセミナー 2019#6

基盤更改を迎える多くのお客様にとっても、 “HCI” が選択肢に入っているのではないでしょうか。
本セミナーでは、次の基盤をご検討中の皆様に向けて、”VMware vSAN HCI” の実際の導入事例を用いて、

・どんなお客様が導入しているのか?
・どんな課題をお持ちのお客様だったのか?
・導入後にどんなメリットを得ているのか?

を解説します。

“百聞は一見にしかず” 皆様と同じ課題をお持ちのお客様が “VMware vSAN HCI” で課題を解決している実例をぜひ見つけてみてください!

対象 : パートナー企業様、エンドユーザー様
※競合企業、もしくは対象外と判断させていただいた方は、ご遠慮いただく場合がございます。

主催 : ヴイエムウェア株式会社

日時: 2019年 07 月 26 日(金) 12:00-13:00 (11:50 から受付開始)

費用: 無償

申し込み : こちらよりお申込みください。

講演者 : ヴイエムウェア株式会社

■ セミナー目次 :
=============

12:00-12:50

1. HCI 最新シェア情報のご紹介
2. VMware vSAN 概要紹介
3. 海外 VMware vSAN 事例紹介
4. 国内 VMware vSAN 事例紹介

12:50-13:00

QA

では、当日のオンラインセミナーでお会いできることを楽しみにしております。

また、今後、定期的にオンラインセミナーを行う事を計画しております。

今後、取り扱って欲しい内容等がございましたら、是非、オンラインセミナーご参加時に直接、コメントを頂ければ幸いです。

VMware 内野