Home > Blogs > Japan Cloud Infrastructure Blog

あとどのくらい仮想マシンを載せられるか(リソースの残量を知る)〜 VMware vCenter Operations Manager活用法(第1回)

こんにちは、VMwareの塚田です。

今週から始まる連載「VMware vCenter Operations Manager活用法」では、VMware® vCenter Operations Manager (vC Ops)の活用ノウハウを具体的に紹介致します。第1回目のテーマは「現在運用中の仮想基盤へ何台くらい仮想マシンを載せられるのか?」です。

リソースの残り容量を把握する事は意外に難しい

仮想基盤を運用されていると、仮想マシンを後何台くらい基盤へ追加できるか?という事を知りたいと思う事が度々あると思います。そのような時、皆さんはどのような方法で調べますか?

真っ先に思い浮かぶのはvCenter Serverのパフォーマンス チャートだと思います。パフォーマンス チャートは、CPU使用率やメモリの使用量、データストアの使用済み容量と空き容量等、仮想基盤のリソースの最新の利用状況を詳細に把握する事を支援してくれます。また、リソースの統計情報を一定期間アーカイブしてくれるので、過去にさかのぼってリソースの利用状況を調べる事も可能です。

しかし、その便利なパフォーマンス チャートも、仮想基盤に追加可能な仮想マシンの台数については何も教えてくれません。それを知るためには、下に挙げるような手順を経て計算するしか方法がありません。

  1. vCenter Serverのパフォーマンス チャートのデータをエクスポートする
  2. エクスポートしたデータを表計算ソフト等へ取り込んで、以下の情報を算出する
    • 仮想基盤上の仮想マシンの平均的な構成(vCPU数、仮想メモリの容量、仮想ディスクの容量、仮想NIC等)
    • 仮想基盤の仮想マシンの平均的なリソース使用量(CPU、メモリ、仮想ディスク、仮想NIC等)
  3. 算出された仮想マシンの平均的な構成とリソース使用量から、残りリソースで平均的な構成の仮想マシンを何台作成可能か算出

いかがですか?結構な工数がかかりそうですね。また、このような複雑な計算を頻繁に行う事も大変そうですね。

このように、「仮想マシンをあと何台作成できるか?」という一見簡単そうな疑問に答えるのも、実際は結構な工数がかかったり、ある程度の知識が必要だったりする事がご理解いただけると思います。

vC Opsは残り容量を常に分かり易く表示

しかし、「基盤全体のパフォーマンスに影響なく仮想マシンを後何台作成できるのか?」、または「仮想基盤の空き容量はどれくらいか?」とは仮想基盤の運用者であれば常に把握しておきたい基本的な情報の一つだと思います。vC Opsを用いれば、このような基本的な情報も手間をかけずに常に把握することが可能です。

vC Opsは、クラスタ全体のリソースの残り容量を次の2つの観点で仮想基盤の運用管理者へ分かり易く伝えます。

vcops_blog_2_fig1

図1. 仮想基盤の残りリソースを「残り時間」(日数)と「残り容量」(台数)で表示

  • 残り時間(日数)
    • CPU、メモリ、ストレージの容量とI/O数、およびネットワークの各種リソースの内、最も早く枯渇するリソースを特定し、それが枯渇するまでの残り時間を「日数」で表示します。
  • 残り容量(作成可能な仮想マシンの台数)
    • 基盤上の仮想マシンの平均的な構成を算出し、残ったリソースから同じ構成の仮想マシンを何台作成する事が可能か「台数」

リソース毎の枯渇時期も予測し、リソース増強計画の作成を支援

また、vC Opsは先ほど挙げた各種リソース(CPU、メモリ、ストレージの容量とI/O数、ネットワーク)それぞれについて詳細な利用状況のレポートも作成、表示します。その内容は以下の通りです。

  • 枯渇するまでの残り時間(日数)
  • 過去のリソース利用状況(過去2週間)
  • 最新のリソース利用状況(今週)
  • 未来のリソース利用状況の予測(来週から 半年先まで)
vcops_blog_2_fig2

図2. リソース枯渇までの残り時間を把握することが可能

これを参照することにより、運用管理者は最も早期に枯渇しそうなリソースを特定することが可能であり、この情報を元に以下のような対策を取る事が可能になります。

  • リソースの追加計画を作成する
  • 日程上、または予算上の都合によりリソース追加が難しい場合は、仮想マシンの構成を見直してリソースを節約する事を計画する

そして、vC Opsはリソースの追加計画の作成を支援する機能、仮想マシンの構成を見直してリソースの節約を支援する機能も備えています。これらについては、今後の連載において紹介致します。

まとめ

vC Opsは、仮想基盤を運用管理する上で把握しておくべき基本的な情報の1つである、リソースの残り容量を常に計算しています。そして、その結果をいつどのリソースが最も早期に枯渇するか、仮想マシンを何台まで作成可能か、というとても分かり易い形式で管理者へ伝えます。

管理者はvC Opsのダッシュボードを見るだけで、いつまでにリソースを増強すべきか計画を練ったり、仮想マシンの構成を見直してリソースの消費量を抑制する事を検討したりする事が可能になります。

次回以降の連載の内容(予定)は以下の通りです。是非お楽しみにして下さい。

仮想基盤のリソース(キャパシティ?)状況を知る!
~VMware vCenter Operations Manager活用法~

第1回 あとどのくらい仮想マシンを載せられるか?(リソース残量を知る)
第2回 どこにリソースの無駄が発生しているのか!(リソースの無駄と削減) Coming Soon
第3回 より多くの仮想マシンを安全に載せていく(統合率を上げていく)Coming Soon
第4回 将来、物理リソースがどのくらい必要か?(重要予測)Coming Soon
第5回 使用環境における”ポリシー”の設定 Coming Soon

執筆者:VMware SE 塚田 大輔

vCenterで確認できるメモリ情報の見方について

仮想環境を運用する上で、メモリの利用状況の確認は非常に重要な情報の1つとります。
今回は、VMware® vCenter Server™(以下vCenter)から確認できるメモリ情報の見方をご紹介したいと思います。

vCenterでは、以下の3つの画面でメモリの状況を確認することができます。

  1. 仮想マシンのハードウェア
  2. ホストメモリ
  3. ゲストメモリ

最初に、仮想マシンのハードウェアで確認できる値を紹介します。

スクリーンショット 2014-04-09 14.47.17
図1.仮想マシンハードウェア

図1で確認できる通り、「仮想マシンハードウェア」の画面で表示される、メモリに関する情報は以下のように表示されています。

  • メモリ使用率:2048MB、266MB使用
  • ホストオーバヘッド:41MB

メモリ使用率で表示される、最初の値(2048MB)は、仮想マシンを作成した際にメモリとして設定をした値となります。

次に、XXXMB使用(266MB)の部分は、以前のC#クライアントでは「アクティブなゲストメモリ」と表示されていた項目となっており、仮想マシンが活発に利用しているメモリを、一定期間の内部統計値より計算しています。

ホストのオーバーヘッド(41MB)は、仮想マシンをパワーオンするために必要なオーバーヘッド メモリの量となっており、内部的にはページ・テーブルなどの情報を含んでいます。
見積に関してはマニュアルを参照ください。(仮想マシン上のオーバーヘッド メモリ

 

次に、「監視」タブの「リソース割り当て」で確認できる情報を紹介します。
ここではメモリ情報として「ホストメモリ」と「ゲストメモリ」の2つのポートレットで情報の確認が可能です。
スクリーンショット 2014-04-10 10.36.58

まずは、ホストメモリからご紹介します。
ホストメモリで確認できる情報は、ESXi で消費していると認識しているメモリ量を表します。

スクリーンショット 2014-04-09 13.20.56
図2 ホストメモリ

図2にある通り、メモリに関する情報は以下のように表示されています。
消費:1.83GB、オーバーヘッド:41.00MB、予約、制限、構成済み:2GB、シェア、割り当て最低限度:854.00MB、オーバーヘッド予約:37.87MBの項目があります。

消費(1.83GB)とはホストの物理メモリを仮想マシンが消費しているメモリ量となります。

つまり、今回の例では2GBの割り当てたメモリの内、1.83GBメモリが消費されているということになります。

この項目の注意点として、パフォーマンスタブのメモリ項目の「消費」とは違う点です。

こちらの消費は、オーバーヘッドを含みますが、パフォーマンスタブのメモリ項目の「消費」はオーバーヘッドを含みません。

オーバーヘッド(41.00MB)は、前項で紹介したとおり、仮想マシンをパワーオンするために必要なメモリオーバーヘッドとなっております。「ホストのオーバーヘッド」と同じ値となります。

構成済み(2.00GB)は、前項で紹介したとおり、仮想マシンを作成した際のメモリとして設定をした値となります。
メモリ「使用率」の最初の値と同じ値となります。

割り当て最低限度(854.00MB)は、すべての仮想マシンが割り当てられたリソースを全て消費した場合、該当の仮想マシンに割り当てることができるメモリ量となります。
重度なオーバーコミットが発生した場合、この値に基づいてメモリの確保を行います。
オーバーコミットをしている環境では、注意して確認すべき値の1つとなります。

オーバーヘッド予約(37.87MB)は仮想化オーバーヘッド用に予約されているメモリの量となります。

 

最後に、ゲストメモリについて紹介します
ゲストメモリとはゲスト OS で消費していると認識しているメモリ量を表します。

スクリーンショット 2014-04-09 14.46.46
図3 ゲストメモリ

図3にある通り、メモリに関する情報は以下のように表示されています。
有効なゲストメモリ:266.00MB、プライベート:1.73GB、共有:251.00MB、バルーン済み:0.00B、圧縮済み:440.32KB、スワップ済み:23.00MB、未アクセス:583.68KBの項目があります。

有効なゲストメモリ(266.00MB)は、前項で紹介したとおり、実際に読み書きを行っている(物理メモリにタッチしている)メモリの値を、一定期間の内部統計値より計算しています。
メモリ「使用率」の2つ目の値の「XXXMB使」と同じ値になります。

プライベート(1.73GB)とは、仮想マシンが物理メモリとしてバッキングされている容量を表します。
今回の例では1.73GBは物理的にメモリが確保されています。

共有、バルーン済み、圧縮済み、スワップ済みに関しては、マニュアルを参照ください。今回は説明を省略させていただきます。

未アクセス(583.68KB)とは、ゲストにより参照されないメモリの量となります。

 

今まで紹介した各値は、下図のようにあらわされます。

Image1

vCneter上で確認できるメモリ情報は仮想環境を運用するうえで、有用な情報が多く含まれています。
まずは、こちらの内容を確認後、さらに詳細な調査が必要な場合はメトリック情報を、各種ツールでの取得をして下さい。

例えばvCenter Operations Managerなどを利用すると、仮想基盤の様々な情報を判りやすく取得することが可能となります。

vCloud Automation Center とのインテグレーション

今回がOrchestratorの最終回となります。

 

直近の2回で実際にOrchestratorを使ってみるということで、vCenterに関する処理を自動化するためのワークフローの作成、プラグインの使用例としてOrchestratorを使ってActive Directoryに対する操作を行ってきましたが、今回はvCloud Automation Center(以下 vCAC)との連携機能について見ていきたいと思います。
vCACとはセルフサービスカタログを提供することで、ITサービスの俊敏性や柔軟性を向上させ、IT運用コストを削減するための製品です。vCACのブログでも触れられておりますとおり、vCACとして仮想マシンのプロビジョニングの自動化や、申請/承認ワークフローの実装といった機能を持ち合わせていますが、システムのニーズに従ってより複雑なワークフローを構成するケースも出てくるかと思います。その際に、Orchestratorを使用することでVMware製品だけでなく、標準プロトコルやパートナー様提供のアプリケーションプラグインを経由することで、外部システム連携のワークフローを容易に作成するができます。

 

vCAC 6.0では、OrchestratorとUIレベルでのインテグレーションが進められております。vCAC 6.0で提供される標準ポータルのUIからOrchestratorのワークフローにアクセスすることができます。

 

・「Advanced Services」-「Service Blueprints」でプラスボタンを押下で、OrchestratorのLibraryにアクセス可能

Service Blueprint 1

Service Blueprint 2

・「Administration」-「Import workflow packages」で、OrchestratorでExportしておいたWorkflowをインポート可能

Import Workflow

vCAC/Orchestratorの実際の操作につきましては、以下オンラインハンズオンのコンテンツ(HOL-SDC-1321)を用意しております。vCACのポータルに、OrchestratorによるADユーザ登録のワークフローを標準メニューとして追加する内容が含まれておりますので、アクセスしてみて下さい。

http://www.projectnee.com/HOL

HOL-SDC-1321 vCloud Automation Center (vCAC) 6 from A to Z

最後になりますが、Orchestratorのプラグインについては以下VMware Solution Exchangeのサイトに情報がございます。直近で提供されているプラグインの確認の際には、こちらのサイトをご一読下さい。
(Orchestratorのプラグイン以外にも、Virtual Applianceや各種パートナー様のソリューションの情報も提供されています。)

https://solutionexchange.vmware.com/

Solution Exchange

 

アーカイブ
1回目:プライベートクラウド実現に向けた自動化のニーズ
2回目:vCenter Orchestratorのアーキテクチャ
3回目:vCenter Orchestratorを使ってみる(1)
4回目:vCenter Orchestratorを使ってみる(2)

仮想基盤のリソース状況を知る!~VMware vCenter Operations Manager活用法~

こんにちは。VMwareの中村です。
突然ですが、現在皆様がお使いの仮想基盤のリソース使用率はどのくらいでしょうか?
また、物理サーバ(ESXi)あたりに稼働している仮想マシン数はどのくらいでしょうか?

このようなご質問をすると、サーバ仮想化は導入したものの、

「リソース使用率はあまり高くないけど、
パフォーマンスの影響が怖いので必要最低限しか仮想マシンを載せない…」

等、サーバ仮想化の利点を十分に活かせずお困りのユーザ様が多くいらっしゃいます。
確かに仮想基盤は物理リソースを占有ではなく「共有」していることから
物理リソースを無駄なくより有効に活用する場合に”ノウハウ”が必要になってきます。

Ops_1_1

この”ノウハウ”が思った以上の「壁」となってしまい、結局は物理リソースを共有して
有効活用するという仮想基盤の特徴を活かせないままご使用されていることが多いようです。

そこでVMwareは「仮想基盤を物理リソースを安全に有効活用したい!」というお客様の
課題をご支援するため、
「VMware vCenter Operations Manager (略してvC Ops)」をご提供しております。
このvC Opsでは、より仮想基盤自体が可視化されるので、物理リソースの状態を把握しやすくなり


あと何台仮想マシンが載るのか?
いつ物理リソースが枯渇するのか?
ムダなリソースはどこで発生しているのか?

等把握することができ、根拠をもった将来の計画も立て易くなります。
このシリーズではvC Opsを使って、安全に仮想基盤を活用していただく方法について
5回に分けてご紹介して参ります。

仮想基盤のリソース状況を知る!
~VMware vCenter Operations Manager活用法~

第1回 あとどのくらい仮想マシン載せられるか?(リソース残量を知る)
第2回 どこにリソースの無駄が発生しているのか!(リソースの無駄と削減)  
第3回 より多くの仮想マシンを安全に載せていく(統合率を上げていく)
第4回 将来、物理リソースがどのくらい必要か?(需要予測)
第5回 使用環境における”ポリシー”の設定

ops1_2

来週から開始します。最後までご愛読いただけますようよろしくお願い致します!
執筆者
VMwareSE 塚田大輔 & 中村朝之

関連リンク
vC Opsのラボ簡単オンラインラボ

やってみよう!vSphere on VMware Fusion編

本エントリでは、最新のVMware vSphere の機能を理解し、簡単に検証していただくためにご利用いただくための簡単な裏技をご紹介します。機能検証や操作手順の確認のであれば、本ブログで以前ご紹介した(http://blogs.vmware.com/jp-cim/2013/12/hol.html)ハンズオンラボをご利用いただくのも良いのですが、ハイパーバイザーのインストールを含めた構築作業そのものやハンズオンラボのシナリオに無い操作をご体験していただくことができません。

VMware vSphere はVMware Fusion やVMware Workstation, VMware Player を使用するとMac OSX やWindows のPC 上で簡単に構築することができます。
このように、ハイパーバイザー上に仮想マシンを構築し、ハイパーバイザーをインストールしてさらにゲストマシンをインストールする構成を”Nested(ネステッド) ”と呼びます。

nested

nested2

ネステッド構成は、互換性リストに掲載されているハードウェアが準備できない場合等に、手持ちの環境で手軽に検証環境を構築できることがこの構成の大きなメリットです。
なお、下記KBにあるように、ネステッドの構成の場合は本番環境としてご利用いただくことはできませんのでご注意ください。

Support for running ESXi/ESX as a nested virtualization solution (http://kb.vmware.com/kb/2009916)

最近では、このネステッド環境に特化したVMware tools もFling (フリーウェア)として提供されています。

https://labs.vmware.com/flings/vmware-tools-for-nested-esxi

では、早速VMware Fusion を使用してネステッドESXi を構築してみましょう。

1. 仮想マシンライブラリで+(追加)→新規をして仮想マシンを新規作成します。

2. ディスクまたはイメージからインストールを選択します。

仮想マシンを作成_と_仮想マシンのライブラリ

3.「別のディスクまたはイメージを使用」をクリックしてあらかじめダウンロードしておいたハイパーバイザーのインストールイメージを指定します。

新しい仮想マシン_と_nested_と_仮想マシンのライブラリ

新しい仮想マシン_と_nested

4.「仮想マシンの構成が完了しました。」とメッセージが表示されます。

このままだと、デフォルトの仮想マシン構成(vCPU 2コア、4GB RAM 、40GB ディスク)という構成になりますので、適時ご利用いただいている環境に合わせてサイズを変更します。

VMware Fusion でネステッド構成を構築した場合、ネットワークアダプタはE1000 となりますが、vSphere on vSphere の場合はvmxnet3 を利用するとより安定したパフォーマンスが得られます。

新しい仮想マシン_と_nested_と_仮想マシンのライブラリ 2ここまででひととおり完了です。

作成した仮想マシンを起動すると、ESXi のインストーラが始まりますので、通常と同じようにインストールします。Mac の場合に、F11キーが直接入力できませんので、fn + ⌘(Command) + F11 もしくは、仮想マシン→キーの送信→F11 を使用して入力します。

インストールが完了した画面がこちらになります。VMware_ESXi_5

お手軽な検証環境をつかって、操作方法の確認等にぜひお役立てください。

参考KB

Installing ESXi in VMware Fusion (http://kb.vmware.com/kb/2009580) 

Support for running ESXi/ESX as a nested virtualization solution (http://kb.vmware.com/kb/2009916)

vCloud Automation Center 概要 ~IT部門に求められること~

IT部門に求められる代表的な要件はいつの時代も変わりません。すなわち、1)投資、運用の「コスト削減」、2) ITサービスの「俊敏性」と「柔軟性」の向上、3) 耐障害性、事業継続、ガバナンスといった「リスク管理」です。

特にITサービスの俊敏性といった面を見ると、まずインフラの提供に数日から数週間、その後のアプリケーションの提供に更に数週間から数ヶ月かかっているのがこれまで一般的でした。

01

 

インフラの面だけを見ると、仮想化によるサーバー統合で、投資コスト削減、ならびに提供までの時間短縮による俊敏性向上はある程度は実現されますが、ITサービス全体で見ると、まだまだ人の手を介することが多く、サービス提供が遅い、運用コストが高い、標準化されていない、といった課題があります。

そこで更なるコスト削減やインフラ管理の効率化のため、プライベートクラウドを構築し、自動化を促進されているお客様も多いのではないでしょうか。

ただ、一言に自動化といっても、実施しなければならないことは以下に示す通り非常に多くあります。

02

IT部門ではこれらを考慮し、既存のインフラ、ツールを利用しつつ、様々なユーザーのニーズに対応しなくてはなりません。

 

vCoud Automation Center (vCAC)は、これまで運用担当者による操作、現場で開発したスクリプト、そして機器やアプリケーション毎にバラバラに提供されている各種ツールを使用して実施していたこれら処理を自動化し、「サービスとしてITを提供」する事を可能にします。

03

 

vCACの主な機能は以下の通りです。

  1. カタログからのインフラ/アプリケーション/カスタムサービスの展開および自動化
    • 標準化されたITサービスの展開
    • ユーザーへの迅速なサービス提供の実現
    • 自動化によるオペレーションミス、コンフィグレーションエラーの削減
    • 構築時に都度対応していたネットワーク/ストレージ/アプリケーションチームとの連携不要
  2. 複数のハイパーバイザー、クラウドコントローラ、および物理サーバを管理可能
    • vSphere、vCloud Director etc …
    • Hyper-V、KVM、Xen、Amazon etc …
  3. 新しいITサービス(XaaS)をウィザードから数分で作成し、即時ユーザーへ展開 (ストレージ/バックアップ/デスクトップなど)
  4. IT部門のガバナンスを効かせたクラウドサービスのライフサイクル管理機能を実装
    • 承認/回収/コスト等の承認ワークフロー機能を提供
    • 運用の集約による運用管理工数、コストの削減

04

 

本ブログでは、vCACでできることをピックアップし、全4回に分けてご紹介していきます。

次回以降は以下の内容を予定しています。
2回目:vCACでできること (1) ~プロビジョニング~
3回目:vCACでできること (2) ~申請・承認~
4回目:vCACインストール概要

 

vExpert 2014 第1四半期受賞者発表

以前のブログエントリでご紹介させていただいたように、今年度からvExpert の申し込みが四半期単位となりました。

VMware vExpert は、過去1年間に、VMwareコミュニティー全体に大きく貢献された個人を表彰させて頂く一年更新のプログラムです。ブログや掲示板、Twitterといったオンライン上での貢献の他、社内外への弊社製品技術促進、講演活動、執筆、ユーザ会などで貢献された方を表彰しています。

vExpert は個人に付与されるものであり、所属組織に対して付与されるものではありません。過去1年のVMwareコミュニティへの貢献や技術普及活動を評価するもので、資格認定ではございませんのでご注意ください。

その第1四半期の受賞者が下記ブログエントリ(英語サイトになります。)にて発表されましたのでご案内いたします。

vExpert 2014 Announcement (https://blogs.vmware.com/vmtn/2014/04/vexpert-2014-announcement.html)

第2四半期の申し込みは始まったばかりですので、我こそは!と思われる方は下記リンクからお申し込みください。

2014 vExpert application
(2014年vEXPERT 申し込みサイト):http://bit.ly/LMJqB5

以前のブログエントリにあった2013年受賞者用Fast Track サイト及び推薦者申し込みサイトは現在クローズ中ですのでご注意ください。

 

VMware NSX による Software-Defined Data Center (SDDC) の視認性の変革

ネットワーク仮想化と VMware NSX は統合により視認性を大きく改善する

※この記事は、2013年10月15日の Brad Hedlund による記事の翻訳版です。

記事の概要

これまで VMware NSX に関する議論の多くは、優れた俊敏性と、完全に自動化されたネットワーク プロビジョニングという VMware NSX の主要な特性に関するものでした。仮想マシンと同等のスピードおよび可搬性を備え、完全な機能を持った L2 ~ L7 仮想ネットワークをソフトウェア コンテナ内に作成する機能です。これは非常に重要な機能ですが、同じくらい重要な機能がほかにもあります。それは、ネットワーク仮想化と VMware NSX が Software-Defined Data Center 時代の運用における視認性を大きく変革するという点です。

統合による新たな視認性

ネットワークとコンピューティングの統合は、別々でありながら密接に関連するこの 2 つのサービスを安定して共存させる理想的なアーキテクチャによって実現されています。まだあまり注目されていませんが、この統合は本質的に視認性を向上します。理由は簡単で、プラットフォームが 1 つになることで、同期された統合ビューで複数のサービスとそれらの関係をリアルタイムで確認できるためです。1 か所から確認できるようになることで、これまで考えられていた以上に高度なアプリケーションと運用ツールを実現できます。

VoIP 端末により実現した音声とデータの統合、および接続制御のソフトウェアを例として考えてみましょう。データ端末と音声利用者の関係を 1 か所で確認できるようにすることで、マルチメディア、場所情報、在席情報などの充実したサービスを利用したコラボレーションが実現しました。音声 / データの統合によるメリットは最終段階にならないとわからないかもしれませんが、インフラの統合では初期段階で明らかなメリットがあります。

VMware NSX によって実現するネットワークの仮想化は、異なるサービスでありつつ密接に関連している複数の仮想サービス (仮想コンピューティング、仮想ネットワーク、および物理ネットワーク ファブリック) の統合につながります。俊敏性に優れ、自動化されたネットワーク プロビジョニングの初期段階のメリットは明らかであり、とても重要です。ただし、繰り返しますが、あまり目立ちませんが同様に重要なメリットである、サービスの視認性の向上も実現するでしょう。ネットワーク仮想化と VMware NSX を使えば、単一のプラットフォームで、アプリケーション環境、アプリケーションが使用する完全な L2 ~ L7 ネットワーク サービス、およびサーバが転送される物理ネットワーク ファブリックを詳細にわたって確認することができます。

VMware NSX は仮想コンピューティングを仮想および物理ネットワークと統合する

この統合と視認性を実現する理想的なプラットフォームは、ハイパーバイザー、およびそれに対応するプログラム可能なソフトウェア仮想スイッチです。ハイパーバイザーは、仮想マシン (アプリケーション)、仮想ネットワーク、物理ネットワーク、およびストレージ アクセスのちょうど中間に位置付けられます。VMware NSX は、ハイパーバイザー内でこの戦略的な位置付けを十分に活用します。また、統合制御ソフトウェアを通じて、個々のアプリケーション、それらが利用する L2 ~ L7 ネットワーク サービス、および物理ネットワーク間の流動的な関係を、NSX では 1 か所からまとめて測定および確認できるようになります。

シンプルな例として、ロード バランシング サービスに関連付けられた N 台の仮想マシンの階層からなるアプリケーションを考えてください。単一の API で次のことができます。各仮想マシンと対応するロード バランサの物理的な場所を確認できます。ロード バランサと各仮想マシン間のトラフィックを測定してプロファイルを作成できます。ロード バランサと各仮想マシン間の物理ネットワーク接続の問題を検出してフラグを付けることができます。仮想ネットワーク ポート上の構成エラーを検出してフラグを付けることができます。影響があるインスタンスを特定できます。ロード バランサ インスタンスの負荷と健全性を確認できます。ポート カウンタとフル パケット キャプチャを利用しながらトラフィックを監視できます。ベースラインまたはテンプレートとの比較をこれらすべての特性について行えます。アプリケーション特有のビューを、関連するアプリケーションの所有者とネットワーク運用担当者に提示できます。包括的で目的を絞った視認性により、ノイズの中からより多くのシグナルを抽出できるようになります。

トラブルシューティング

物理ネットワークの健全性ヒートマップ

統合によりトラブルシューティングの基盤も強化されます。相互に依存する複数のドメインを単一のプラットフォームで確認できると、問題があるドメインを迅速に識別するための出発点とすることができます。VMware NSX はハイパーバイザー内で理想的な場所に配置されています。相互に依存する 2 つのドメイン、つまり仮想ネットワークと物理ネットワークの重要な接点です。VMware NSX では、完全な L2 ~ L7 仮想ネットワークの健全性と状態を確認できます。また、VMware NSX はすべてのハイパーバイザー仮想スイッチおよびゲートウェイ間の物理ネットワーク (トンネル健全性プローブあり) の健全性を常にテストしており、API クエリと NSX Manager のヒート マップを通じてリアルタイムで確認できます。

たとえば、物理ネットワークの問題が原因で接続の問題が発生している場合、VMware NSX は直ちにこれを検出し、影響のあるハイパーバイザーと仮想マシンを特定できます。トラブルシューティング対象のドメインを迅速に特定し (物理環境)、問題の範囲を調査して、作業に着手するためのより実用的な情報を得られます。また、接続の問題が仮想ネットワーク内だけに存在する場合を考えます。ACL またはファイアウォール ルールの構成ミスが原因の可能性があります。VMware NSX はこれが物理ネットワークの問題ではないことを直ちに識別します。仮想ネットワーク (TraceFlow & Port Connections) を通じてトラフィックを挿入 / 追跡するツールを提供し、仮想スイッチおよびトラフィックをドロップしている ACL を特定します。

仮想ネットワーク内のブロックされているフローの統合管理

VMware NSX for vSphere のブロックされているフローの監視

例として (上図)、VMware NSX for vSphere で提供される Flow Monitoring ツールでは、仮想ネットワーク内でファイアウォール ルールが適用されているすべてのフローに対するグローバルなビューを提供します。これにより、トラブルシューティングの際に、仮想ネットワークのどこかでブロックされた個別のフローに関する詳細情報 (リアルタイムまたは履歴) を確認できます。詳細情報には、関連するアプリケーションのタイプ、ソースとターゲット、時刻、および特定のルールが含まれます。この情報はいつでも数クリックで確認できます。

この分析機能はすべて、プログラム可能な単一のインターフェイスである NSX API を通じて利用できます。VMware はすでに既存の運用ツールを拡張して、vCenter Operations Manager や Log Insight などで NSX API を活用できるようにしています。また、パートナーはすでに NSX との連携に着手し、優れたツールを拡張して、仮想ネットワークと物理ネットワークを可視化し、関連付けようとしています。いくつか例を見てみましょう。

トラフィック フローを可視化し、仮想ネットワークと物理ネットワークを関連付ける

ハイパーバイザー内では、VMware NSX は仮想コンピューティング レイヤーのアプリケーションに隣接しており、フローのすべてを直接確認できます。また、NSX がキャプチャしたフロー データのすべては、標準インターフェイス (IPFIX) を使用して監視ツールにエクスポートできます。この監視ツールは標準フロー データを物理ネットワークから収集することもできます。また、任意の標準インフラストラクチャ ハードウェア上で仮想 / 物理フローを関連付けて統合ビューに表示できます。

NetFlow Logic および Splunk を使用した仮想から物理へのトラフィック フローの視認性

たとえば、VMware NSX は NetFlow Logic および Splunk (上図) と容易に連携できます。VMware NSX および ToR (Top of Rack) スイッチから取得した標準 IPFIX と NetFlow のエクスポートを単純に集約して関連付けることで、仮想ネットワークと物理ネットワーク上を流れるトラフィックを可視化します。トラフィック量が多いフローを確認できます。トラフィック ソースを選択して、そのやり取りの仮想ネットワークと物理パスを確認できます。たとえば (上図)、やり取りを 1 つ選択して、そのトラフィックの仮想と物理の詳細 (例: ソース VM IP アドレス > ソース Hypervisor IP アドレス > ソース ToR スイッチと入力ポート > 仮想ネットワーク VXLAN ID > ターゲット ToR スイッチと出力ポート > ターゲット Hypervisor IP アドレス > ターゲット VM IP アドレス > Tx/Rx 接続状態 > 時刻ごとの使用帯域 を確認できます。

物理および仮想ネットワーク トポロジを可視化して関連付ける

VMware NSX は、任意の仮想マシンの物理的な位置および接続されている完全な L2 ~ L7 仮想ネットワーク トポロジを常に認識します。また NSX は、ハイパーバイザーの運用状態、およびNSX アプライアンスのネットワークの健全性と統計情報を確認できる標準 SNMP インターフェイスを提供します。NSX API および SNMP を介してこの情報に容易にアクセスできるので、物理ネットワーク管理ツールが、仮想ネットワークとその運用状態の詳細情報を取得するのは非常に簡単です。

物理および仮想ネットワーク トポロジを可視化して EMC Smarts と関連付ける

例として、EMC Smarts を使えば、VMware NSX API と連携して、物理ネットワーク トポロジを VMware NSX 仮想ネットワーク トポロジと組み合わせて関連付け、依存関係のマップを作成することができます。上図の例では、ラックの一番上にある特定のスイッチに問題が発生している場合、影響があるテナント、アプリケーション、仮想ネットワーク、およびハイパーバイザーのマップを確認できることがわかります。別の例として、詳細にわたって仮想 / 物理ネットワークの可視化および関連付けを行う Riverbed 社の Cascade ソリューションも開発されています。

包括的なダッシュボードと Log Insight による分析

VMware NSX は多くの運用データを生成します。それらはすべて標準の Syslog データを使用してエクスポートできますし、NSX API を使用してもアクセスできます。例として、VMware Log Insight という複数の VMware プラットフォームにまたがるマシンのデータを集約して分析することができるソリューションを使うと、VMware NSX のデータも分析することができます(下図)。

Log Insight を使用した VMware NSX の運用データの視認性

VMware NSX は、vCenter Operations Manager (下図) や Log Insight (上図) などの既存の VMware の運用ツールと密接に連携します。これによりさまざまな機能 (パフォーマンス分析とアクセス プロセスのリアルタイムでの関連付け、仮想マシンと仮想ネットワーク インターフェイスの統計情報、物理ネットワーク インターフェイスの統計情報、ネットワークの健全性、物理ネットワーク フローのログ、予測的な根本原因分析の機能など) が提供され、任意の標準ネットワーク ファブリックにまたがって問題を迅速に診断するための、完全な運用上の視認性が得られます。これらの強力なツールは、コンピューティング チームとネットワーク チームが共同で利用することになると想定しています。

vCenter Operations Manager による包括的な監視と根本原因分析

VMware vCenter Operations Manager も、VMware NSX API でアクセスできる豊富なネットワーク情報を利用できるように拡張されました。

VMware vC Ops を使用した全体的な仮想インフラストラクチャの視認性と根本原因分析

VMware NSX の統合は vCenter Operations Manager (上図) に組み込まれており、NSX のネットワークの視認性のデータは、既存のコンピューティングおよびストレージの運用データと統合されます。それにより、仮想インフラストラクチャ全体の状態を確認し、トラブルシューティングに利用できる、単一の包括的なツールが形成されます。たとえば、ハイパーバイザーの CPU、ストレージ、ネットワークの健全性ヒート マップなどが、通常のしきい値を動的に認識し、異常を検知します。また、詳細なメトリックまで掘り下げて、根本原因分析のためにイベントを関連付けます。

視認性と機能による大きな変革

VMware NSX により実現した全体的な視認性は、それ自体が重要なメリットといえます。ただし、遠隔監視や L2 ~ L7 ネットワーク サービスなどのハイパーバイザー仮想スイッチ レイヤーでの高度な機能と組み合わせると、以前は考えられなかったツールが提供されるようになります。それが、Software-Defined Data Center にメリットをもたらす運用機能の変革の始まりとなります。また、既存の監視ツール (IPFIX、sFlow、ERSPAN、SNMP、Syslog) は VMware NSX 用に拡張され、パケットに入口となるソース (ハイパーバイザー仮想スイッチ) で収集された、全体的な視認性に関する情報を取得します。ソースは、仮想環境で測定およびキャプチャするためのより重要な場所です。

パケット検査から詳細なアプリケーション セマンティクスへ

数十年間、ネットワークの運用では、「視認性」 についてはパケット ヘッダの検査で十分でした。パケット ヘッダを検査するネットワーク スイッチがセキュリティ ポリシー (ACL) や QoS (サービス品質) の役割を果たしていたのでしょう。あるいはトラフィックを識別するために監視ツール上のパケット ヘッダを調査している運用担当者がその役割を担っていたのかもしれません。どちらにしろ、ポリシーと視認性は、パケット ヘッダに含まれる基本的な情報と同じくらいの重要性しかありませんでした。たとえば、トラフィックが正当なアプリケーション プロセスからのものか、問題または異常のあるプロセスからのものかは識別できませんでした。インスタンスに提供されたトラフィックが、実際に健全なアプリケーション プロセスで使用されたものかどうかはわかりませんでした。ユーザー名、組織、アプリケーションのバージョン、ライフサイクル (開発 / テスト / 本番) などは識別できませんでした。物理ネットワークにおけるパケット ヘッダの 「視認性」 には、(設計上でも) アプリケーション環境に関して有用な詳細情報は含まれていませんでした。

対照的に、VMware NSX は、完全な L2 ~ L7 仮想ネットワークとハイパーバイザーの統合を通じて、仮想コンピューティング レイヤーにあるアプリケーション セマンティクスとメタデータに対する詳細な視認性を確保します。

アプリケーション固有で ID に対応した視認性 (アクティビティの監視)

VMware NSX によるアプリケーションと ID に対応したネットワーク アクティビティの監視

VMware NSX for vSphere は、アプリケーションに関連するネットワーク アクティビティを、仮想マシン上の個々のプロセス レベルで監視できます。仮想マシンは、トラフィック (上図)、ユーザー ID、組織グループ、アプリケーションのバージョン、所有者権限、オペレーティング システムなどの情報を送受信しています。たとえば、特定のアプリケーション プロセスに送信されたトラフィック、特定のマシン セットに向けたトラフィック、特定の Active Directory グループから送信されたトラフィックに焦点を絞ることができます。仮想コンピューティングに深く組み込まれた仮想ネットワーク プラットフォームだけが、このような、アプリケーションに関連した視認性を容易に提供できます。監視は始まりにすぎません。このレベルの視認性は、より高度なアプリケーション テンプレート、振る舞いに関するプロファイル、およびセキュリティ ポリシーを作成するために使用できます。

アプリケーションに関連する視認性はたしかに素晴らしいものですが、特定の仮想マシンが送信 / 受信している任意のトラフィックまたはすべてのトラフィックを迅速に確認する必要がある場合があります。パケット ヘッダの検査は、この目的ではもちろん現在でも有用なツールで、VMware NSX を使用することによる制約はありません。実際、ハイパーバイザーでの位置付けにより、NSX は任意の仮想マシンのステートフル トラフィック フローを、仮想ネットワーク インターフェイス (仮想 NIC) で直接、リアルタイムで選択的に分析できます。

仮想マシンのネットワーク インターフェイスでの直接的なリアルタイムのステートフル フロー監視 (Live Flow)

仮想マシンの仮想 NIC ごとの Live Flow の視認性

たとえば、VMware NSX for vSphere では、組み込みツールである Live Flow による監視機能 (上図) が提供されます。これにより、単純に任意の仮想マシンのネットワーク インターフェイスを選択して、(リアルタイムで) すべてのフローとその状態の概要を確認できます。対象の仮想マシンにおけるすべてのフローの完全な詳細情報を確認できます。詳細情報には、各フローの方向、フローごとのバイト数とパケット数、各フローで許可されているファイアウォール ルール、IP アドレスとポート番号、および各接続の状態が含まれます。追加の手順は必要ありません。リモート ツールへのフル パケット キャプチャの構成や、自分の仮想マシンに割り当てられる IP アドレスの調査は必要ありません。対象のネットワーク トラフィックの視認性に対するシンプルなタスクのために、VMware NSX はシンプルなツールを提供します。この情報はいつでも数クリックで確認できます。

フル パケット キャプチャが必要な場合は、任意の仮想マシンの仮想ネットワーク ポートから直接リモート監視システムに対して、SPAN / RSPAN / ERSPAN を使用してポート ミラーリングを選択的に確立できます。また、物理ネットワーク上のポートからのパケットをキャプチャする必要がある状況では、現在は多くの管理ツールが Wireshark などの VXLAN のフィルタを提供しており、それによりトンネル パケットを容易にデコードできます。

セキュリティ ポリシーとコンプライアンスの視認性

もちろん、「視認性」 とはネットワーク トラフィックを確認して把握することだけではありません。トラブルシューティングは、ネットワークの仮想化によりもたらされる包括的な視認性からメリットを享受できる多くの重要な分野の 1 つです。例として、コンプライアンスのためにセキュリティ ポリシーの監査を行うタスクを考えてください。このために、VMware NSX for vSphere は Service Composer と呼ばれる組み込みツールを使用して、リアルタイムのアプリケーション セキュリティ ポリシーを確認し、定義するための代表的な手段を提供します。

セキュリティ ポリシーとアプリケーションの分離に対するリアルタイムでの統合された視認性

VMware NSX Service Composer を使用したアプリケーションのセキュリティ ポリシーの視認性

Service Composer の [Canvas] ビューには、作成したセキュリティ グループ、各グループのオブジェクト、および各グループに適用されたサービス (ステートフル ファイアウォール分離など) が表示されます。たとえば (上図)、PCI アプリケーションのセキュリティ グループがあり、IT アプリケーションからの厳格な分離ポリシーが構成されています。これは、PCI コンテナのファイアウォールのアイコンをクリックするだけで確認できます。この分離は、ハイパーバイザー内の VMware NSX 分散配置されたカーネルのステートフル ファイアウォールにより適用され、中央のビューにリアルタイムで表示されます。

将来的な展望: 測定とインテリジェントな最適化

今日のプラットフォームの機能、統合、および視認性の堅牢な基盤は、ソフトウェアにより完全に実現されています。さらなる機能、また任意の標準ハードウェアやネットワーク アーキテクチャ上でそれを実現するスピードに期待しています。

End-to-End の遠隔監視

運用の視認性を最大限実現するための重要なツールは End-to-End の測定です。あるアプリケーション トラフィックのソースと目的を確認することに加え、特定の期間における、 アプリケーションのパフォーマンス プロファイルと振る舞いについて知りたい場合があります。真の End-to-End の遠隔測定法とは、可能な限りデータ ソースに近づいて測定することです。その点で、VMware NSX はトラフィックのソースで理想的な位置にあります (仮想コンピューティング レイヤーに深く組み込まれている)。また、ハイパーバイザー内でフロー ベースの仮想スイッチで遠隔監視を実装しています。つまり、任意の 2 つの端末間における任意のやり取りは、直接ソースとターゲット (ハイパーバイザー仮想スイッチ) で説明、測定、およびマークすることができます。

Network DRS

ハイパーバイザーの VMware NSX 仮想スイッチは、カーネル ファスト パス内の L2 ~ L4 ネットワーク サービスに対応しています。レイヤー 2 スイッチ、レイヤー 3 ルーティング、双方向のステートフル ファイアウォール、ACL、QoS などがすべて、x86 マシンの速度で、ハイパーバイザー カーネル内でローカルで処理されます。前述したアプリケーションの認識と End-to-End の遠隔監視とを組み合わせることで、ワークロードの配置をインテリジェントに最適化し、アプリケーションで可能な最高のパフォーマンスを実現するのに必要なすべての情報と機能が得られます。

Network DRS: ネットワーク対応の最適なワークロード配置

たとえば、マルチ ティア アプリケーションにおいて、レイヤー 3 ルーティングとファイアウォール セキュリティにより分離された 2 つの仮想マシン間の重要なトラフィックを、End-to-End の遠隔監視により測定する場合を考えてください。この情報により、仮想コンピューティング レイヤーは、最適化されたパフォーマンスとそのトラフィックを物理ネットワークから削除するというメリットを実現するために、2 つの仮想マシンを同一のハイパーバイザーに移行することを決定できます。つまり最適な配置は最適なパス(経路)より優れています。

物理ネットワーク接続の問題が特定のハイパーバイザー間の問題を引き起こす別のシナリオを考えてください。VMware NSX は常に物理ネットワークの健全性をテストしているので、問題を迅速に発見できるだけでなく、影響があるハイパーバイザー、ネットワーク サービス、および仮想マシンを特定できることを思い出してください。物理ネットワークの課題に対応しながら、仮想コンピューティング レイヤーがこの情報を活用して、影響のある仮想マシンを、影響のない別のハイパーバイザーにプロアクティブに移行することができます。End-to-End の遠隔測定法はアクションが実際に役に立ったかどうかをあとで検証できます。

エレファント フローの検出と応答

Network DRS の別の例は、VMware NSX のフロー ベースのハイパーバイザー仮想スイッチ内の End-to-End の遠隔監視が、特定のフローを 「エレファント」 として検出し、プロファイリングするシナリオです。「エレファント」 とは、寿命は短いが重要な小さなフロー「マウス」を、無意識に踏みつける、寿命の長い大きなフローのことです。全体的に、確認対象となる可能性があるフローが多いので、VMware NSX は、この遠隔測定法がハイパーバイザー仮想スイッチ全体に分散されるように理想的に配置されています。各ハイパーバイザー仮想スイッチは自身のローカル トラフィックの一部を測定します。エレファント フローが検出されたら、タグ付けされ、処理されます。処理の内容は、重要な小さなフローから離れるように移行する、視認性とネットワーク ファブリックのポリシーのために QoS のマークを適用する、などです。

任意のハードウェア、クラウド、およびハイパーバイザーに対する視認性

もちろん、ここまで話したことはすべて、ソフトウェア プラットフォームである VMware NSX により実現されます。VMware NSX は、任意のネットワーク ハードウェア、任意のハイパーバイザーで動作し、任意のクラウド ポータルからプロビジョニングされ、任意のアプリケーションに対応するように設計されています。ハードウェアに依存しないソフトウェアにより、運用の視認性とツールの機能の両方の一貫性が保たれ、インフラストラクチャのライフサイクルを通じてさまざまなハードウェアとネットワーク アーキテクチャ上で正規化されます。

今後について

VMware NSX は現在一般公開されており、VMware およびパートナーの運用ツールと強固に連携しています。この記事は、長期的視点で見ると、SDDC 向けの運用ツールの変革において VMware NSX ができることのほんの一部に触れただけにすぎません。VMware では引き続き、このプラットフォームとネットワークの未来を形作るのに役立つ、お客様からの貴重なフィードバックをお待ちしております。ご協力よろしくお願いします。

vCenter Orchestratorを使ってみる(2)

プライベートクラウド実現に向けた自動化のニーズ

みなさん、こんにちは。

Orchestrator に関する 4 回目になります。過去の記事を確認したい方は下記のリンクよりご確認ください。

=================================

1 回目はこちら

2 回目はこちら

3 回目はこちら

=================================

今回は、Orchestrator の統合化ということで Orchestrator を使って Active Directory 上のユーザーやグループを操作する場合を例をご紹介します。

今回は単純に Orchestrator から Active Directory 上にコンピュータを登録・削除するという非常に単純な方法をご紹介しますが、他のシステムと連携することでたとえば、[バーチャルマシンを複製] -> [Active Directory へ登録] や [バーチャルマシンを削除] -> [Active Directory 上のコンピュータオブジェクトの削除] 等といった運用上の作業を自動化することが可能になります。

なお、本画面はインターネット上で公開されているハンズオンラボ環境で実施しております。皆様ご自身で検証環境を作ることなく同様の操作を実施することが可能です。是非、本ブログの操作および Orchestrator のその他の機能を触ってみてください。

ハンズオンラボへのログイン操作方法は下記 URL をご確認ください。

登録方法 : http://blogs.vmware.com/jp-cim/2013/12/hol.html

今回、ご紹介する環境は ハンズオン ID : “HOL-SDC-1307 – vCloud Automation Solutions” 上で実施しておりますので、皆様も同様の動作を環境を構築することなくご確認いただくことが可能です。

1. Active Directory 上のコンピュータアカウントの作成

=======================================

1-1. ハンズオン環境にログインして、デスクチップ上の Orchestrator 管理画面を開きます。

vCO-blog-4st-001

1-2. ログイン画面が表示されたら、[password] 欄に “vcoadmin” と入力して、[Login] ボタンをクリックします。

vCO-blog-4st-002

1-3. Orchestrator 管理画面にログインできたら、左ペインの “Workflow” タブをクリックします。その後、[admin@vcac-w8-01a] – [Library] – [Microsoft] – [Active Directory] – [Computer] と順番にクリックします。

vCO-blog-4st-003

1-4. “Create a computer in a group” を右クリックして、”Start workflow” をクリックします。

vCO-blog-4st-004

1-5. [Parent group for the new computer] 欄の “Not set” をクリックします。

vCO-blog-4st-005

1-6. [Filter:] 欄に “Computers” と入力し、”Computers” を選択し、[Select] ボタンをクリックします。

vCO-blog-4st-006

1-7. [Name for the new computer] 欄に “VCOocks” と入力し、[Submit] ボタンをクリックします。(“VCOrocks” はコンピュータ名です。適宜、変更して入力していただくことも可能です)

vCO-blog-4st-007

1-8. ワークフローが完了したら、右上の最小化ボタンで Orchestrator 画面を最小化します。

vCO-blog-4st-008

1-9. デスクトップ上の “Active Directory” 管理画面をクリックして、開きます。

vCO-blog-4st-009

1-10. “Active Directory” 管理画面が表示されたら、左ペインより [corp.local] – [Computers] と順番にクリックします。手順3 – 7 で追加した “VCOocks” コンピュータが作成されていることが確認できます(もし、違う名前でコンピュータを登録されている場合、異なる名前のコンピュータ名が表示されます)。

vCO-blog-4st-010

1-11. コンピュータオブジェクトが追加できたことを確認できたら、右上のバツボタンで “Active Directory” の管理画面を終了します。

vCO-blog-4st-011

 

2. Active Directory 上のコンピュータアカウントの削除

=======================================

2-1. 最小化している Orchestrator の画面を開きます。(Orchestrator 管理画面を閉じている場合は再度、起動・ログインします)

vCO-blog-4st-012

2-2. 左ペインの “Workflow” タブをクリックします。その後、[admin@vcac-w8-01a] – [Library] – [Microsoft] – [Active Directory] – [Computer] と順番にクリックします。

vCO-blog-4st-013

2-3. “Destroy a computer” を右クリックして、”Start workflow” をクリックします。

vCO-blog-4st-014

2-4. [Computer to destroy] 欄の “Not Set” をクリックします。

vCO-blog-4st-015

2-5. [Filter:] 欄に “VCO” と入力し、”VCOocks” を検索できたら選択し、[Select] ボタンをクリックします。(異なるコンピュータを登録した場合は異なる名前のコンピュータを検索して選択します)

vCO-blog-4st-016

2-6. [Computer to destroy] 欄に “VCOrocks” が選択できたら、[Submit] ボタンをクリックします。

vCO-blog-4st-017

2-7. ワークフローが終了したことを確認し、画面右上の最小化ボタンをクリックします。

vCO-blog-4st-019

2-8. デスクトップ上の “Active Directory” 管理画面をダブルクリックして、管理画面を開きます。

vCO-blog-4st-009

2-9. 左ペインの [corp.local] – [Computer] をクリックして、登録されていた “VCOocks” コンピュータオブジェクトが削除されていることを確認します。

vCO-blog-4st-020

 

いかがでしたでしょうか。無事、コンピュータアカウントの追加と削除が行えましたでしょうか。

今回は単純な Active Directory のコンピュータオブジェクトの追加・削除ですが、vCenter や他のシステム (PowerShell や ssh はもちろん、REST や SOAP 等) と連携してワークフローを作成することにより多くのメリットを受け取ることが出来ます。

是非、身の回りの毎日・毎週・毎月行っている業務を思い出して、日々の繰り返し業務を自動化できるかを考えてみてください。

次回は最終回で、以下の内容を予定しています。

5回目:vCloud Automation Centerとのインテグレーション

押さえておきたいvSphere の基本~ネットワーク編 第3回~

「押さえておきたいvSphere の基本」のネットワーク編として、仮想化環境におけるネットワークの基本を3回に分けてご紹介しています。最後の第3回は、効率性と俊敏性に優れ、拡張可能な仮想ネットワークとセキュリティを実現するvCloud Networking and Security (以下、vCNS) を解説します。


■ データセンターのネットワークとセキュリティの課題

今日、サーバー仮想化によって仮想マシンを簡単に素早く(数分で)展開出来き、運用効率も飛躍的に向上しました。物理サーバーを調達して構成していた時代からは格段の進歩を遂げています。しかし、いくら仮想マシンを素早く展開して運用効率を上げても、それを取り巻くネットワークやセキュリティ サービスはどうでしょうか?サーバー仮想化によって仮想マシンが動的に構成されるのに、ネットワークは未だに物理的に構成されているため、結果として仮想マシンの柔軟性を最大限に引き出せない現実があります。

1

 

例えば、以下のような問題に直面された方は多いのではないでしょうか。

  • 必要なネットワークやセキュリティ サービスを準備、設定変更するのに数日または数週間かかる。(ビジネスニーズに応じた迅速な導入、拡張が制限される。仮想マシンは数分で準備できるのに!!)
  • 物理ネットワークとセキュリティ境界の制限によって、仮想マシンを動的に移行・構成出来ない。(サーバーリソースの使用率の最適化を防いでいる)
  • ネットワーク機器への手動による構成や設定変更、専用アプライアンス等による異なる管理インターフェースを使用する事による効率性の低下。(オペレーションコストの増大)

これらの課題を解決策するにはどうすれば良いでしょうか?
その答えとして、サーバー仮想化のように、物理的なネットワーク機器からネットワーク機能を分離するネットワーク仮想化が考えられます。そのソリューションとして、VMwareはvCNSを提供しています。

 2

 では、vCNSが実現可能なネットワーク仮想化の機能をご紹介します。


■ vCNS主な機能

vCNSはいくつかのコンポーネントから構成されています。

3


論理ネットワーク(VXLAN) :
L3ネットワーク上にカプセル化された仮想L2ネットワーク作成します。物理ネットワークのセグメントに制限されないため、Clusterや物理ネットワーク境界の制約に縛られない、 柔軟で拡張性に優れたコンピュータリソースプールが作成出来ます。

4
VXLANの設定方法は、「ネットワーク仮想化 – VXLAN の設定1」、「ネットワーク仮想化 – VXLAN の設定2」をご参照下さい。


Edge Gateway

仮想アプライアンスとして展開したEdge Gatewayサーバーによって、L3-L7ネットワークサービスを提供します。提供される機能は以下になります。

  • ファイアウォール
  • ロードバランサー
  • VPN (IPsec、SSL)
  • ルーティング
  • NAT
  • DHCP
  • HA

例えば、テナント単位やIPセグメントの境界に導入します。

5


App Distributed Firewall

ハイパーバイザーレベルで動作するファイアウォールで、仮想マシンの仮想NICレベルでインバウンド、アウトバウンドのコネクションを制御します。vCenterのオブジェクトを使用して設定することが可能なため、管理と運用の効率化が可能になります。

6

App Distributed Firewallの実装例 は、テックペーパー「Secure Segmentation of Tier 1 Applications in the DMZ」をご参照下さい。


vCloud Ecosystem Framework

vCNSは、サードパーティ ソリューションを仮想環境にインテグレーションできるようにAPI を提供しています。これによって、vCNSでは提供されていないIPSやWAN最適化機能などのネットワークサービスを仮想ネットワーク環境へ導入することが出来ます。

7

 

■ vCNSのメリット

vCNSのこれらの機能は、仮想環境上で必要なときにいつでも簡単に作成することが出来ます。また、仮想マシンに関連付けて設定が行われるので、仮想マシンが物理サーバー間を移動したとしても、再設定を行う必要もありません。VMware vCloud Director や VMware vCloud Automation Center、vCenterといった管理ツールとシームレスに統合されているため、設定の自動化やUIの違いによる管理コストの増大も防ぐことが可能になります。

 

■ ライセンス、エディション

以前は個別ライセンスでも提供していましたが、現在はvCloud Suiteのコンポーネントとして提供しています。エディションもなくなり、全ての機能がvCloud Suiteの全エディションでご利用できます。
詳しくは、「vCloud Networking and Security の製品ページ(英語)」をご参照下さい。

 

■ VMware によるネットワーク仮想化の未来

VMwareがネットワーク仮想化を推進する理由は、ネットワーク仮想化がSoftware-Defined Data Center(SDDC)の重要な要素であるためです。そのため、vCNSはSDDCを実現するvCloud Suite のライセンスに組み込まれています。
また、VMware は昨年VMware NSX をリリースしました。こちらもネットワーク仮想化を実現するためのコンポーネントになりますが、vCNSよりも性能、拡張性、機能の向上が行われています。

今後のVMwareのネットワーク仮想化と、その先にあるSDDCの展開にご期待下さい!

 

「押さえておきたいvSphereの基本」

〜ストレージ編〜
1.マニュアル操作でストレージ環境を最適化
2.ストレージと連携してパフォーマンスを最大化
3.優先度の定義付けと自動化

〜ネットワーク編〜
1.ホスト単位でネットワークを構築する 〜標準スイッチ編〜
2.スケーラブルで高機能なネットワークを構築する 〜分散スイッチ編〜
3.仮想化環境でL3-L7 サービスを提供する 〜vCloud Networking and Security〜

〜可用性編〜
・物理リソースの有効活用と仮想マシンの最適配置〜DRSとリソースプール編〜
・システム障害に備える仕組み〜vSphere HAとFT編〜