posted

0 Comments

Part8:vROps 8.0 のvSANダッシュボード/SDDCコンプライアンス
日本ヒューレット・パッカード株式会社の中川明美です。
今回は、「vROps 8.0 の vSAN ダッシュボード/ SDDC コンプライアンス」です。バージョン 8.0 のvSAN 連携の変更点、およびセキュリティコンプライアンスについてご紹介します。「コンプライアンス」機能は、セキュリティ構成ガイドを元に監視します。

-Back Number-
#1:vROps バージョン 8.0でできること①
#2:vROps バージョン 8.0でできること②
#3:ユーザーインターフェースの変更いろいろ
#4:スーパーメトリックもウィザードを強化
#5:アプリケーションの管理①
#6:アプリケーションの管理②
#7:Workbenchによるトラブルシューティング
#8:vROps バージョン8.0のvSANダッシュボード/SDDCコンプライアンス
◆環境について◆
この Blog では次のバージョンの VMware 製品を使用しています。vSAN クラスタは仮想マシンのESXiホストで構成しています。

  • VMware-VCSA-all-6.7.0-15132721.iso
  • VMware-VMvisor-installer-6.7.0.Update03-14320388.x86_64.iso
  • vRealize-Operations-Manager-Appliance-8.0.1.15331180_ovf10.ova

◆vSAN アダプタインスタンスの構成◆
vRealize Operations (vROps)  8.0では、vSAN アダプタインスタンスの構成方法が変更されました。次の手順でvSANアダプタインスタンスを構成します。

  1. 「管理」メニューの「クラウドアカウント」ページで、vCenter Server のインスタンス (この環境のインスタンス名は「vCenter Server」と指定) をクリックし、「vSAN」タブを選択します。
  2. 「vSAN 構成」オプションを右に移動し、有効にします
  3. 「SMART データ収集を有効にする」を選択します。
  4. 「接続をテスト」をクリックし、vCenter Server インスタンスへの接続を検証します。
  5. 「保存」をクリックします。


「その他のアカウント」に vSAN アダプタインスタンスが追加されます。vSAN アダプタインスタンス構成直後はステータスが「警告」表示されます。問題なければその後「OK」と表示されます。

◆データ収集の確認◆
vSAN アダプタ インスタンスを構成後、「管理」-「インベントリ」-「アダプタ インスタンス」-「vSAN アダプタインスタンス」で、データが収集されているかを確認します。
リスト右側の「収集ステータス」が緑色の場合はアダプタがオブジェクトからデータを取得しています。vSAN のオブジェクトタイプが表示されるまでしばらくかかります。
2つの緑色アイコンの右側は vCenter Server アダプタ配下のオブジェクトの収集ステータスです。

詳細はこちらのドキュメントを参照ください。
<アダプタ インスタンスが接続済みでデータを収集していることを確認する>
https://docs.vmware.com/jp/vRealize-Operations-Manager/8.0/com.vmware.vcom.config.doc/GUID-5D106B51-4587-41C7-A206-CF655B3E9B32.html
◆vROps の vSAN ダッシュボード◆
以前(6.7)のバージョンと比べて、大きな変更点はありません。
vSAN の監視に必要な、4つのダッシュボード (赤色枠内) が提供されています。

「vSAN のトラブルシューティング」ダッシュボードの右上に表示されている「アラート (赤色点線枠内) 」に注目します。
「ホスト上の CIM サーバが動作していません」アラートは、vSAN クラスタに追加している ESXi ホストが仮想マシンのため表示されています。
他に ESXi ホストや vSAN キャッシュディスク/キャパシティディスクの「vSphere セキュリティ設定ガイドに違反しています」アラームが表示されています。暗号化の設定がなされていないことが原因です。セキュリティの監視が強化されていますね。

vSAN の暗号化を設定するには、vSphere Client からキー管理サーバ (KMS) を vCenter Server システムに追加後、vSAN サービスの設定で暗号化を有効にします。
<KMS クラスタの設定>
https://docs.vmware.com/jp/VMware-vSphere/6.7/com.vmware.vsphere.virtualsan.doc/GUID-1583A645-07EE-4D26-8698-080283694635.html
◆vCenter 内の vROps◆
vSphere Client 内で表示される vROps の情報も以前のバージョンから変更はありません。

◆SDDC コンプライアンス◆
「コンプライアンス」機能で、セキュリティ構成ガイドに準拠しているかを確認することができます。
vSphere / VMware Cloud on AWS / vSAN 6.7、6.5、6.0 / NSX-T 2.3、2.4、2.5 / NSX-V 6.3.x、6.4.xオブジェクトのコンプライアンスを確保するために、vROps 8.0.1では、VMware vSphere セキュリティ設定ガイド「バージョン 6.7 Update 1、6.5、6.0」用のコンプライアンスアラートが含まれています。ガイドの詳細内容は次の URL からご参照ください。
https://www.vmware.com/security/hardening-guides.html
こちらは、vSphere 6.7 Update 1 のセキュリティ構成ガイドの一部です。どのような項目がリストアップされているのかを確認すると、セキュリティのベストプラクティスを知る機会になります。

「ホーム」-「コンプライアンス」で、セキュリティ設定ガイドとのコンプライアンスを確認します。「セキュリティ設定ガイド」は、「VMware 製品を安全に導入して操作する方法に関する規範的なガイダンス(赤色点線枠内)」であると表示されています。「VMC SDDC」タブで VMware Cloud on AWS の、NSX が環境に構成されていれば NSX のコンプライアンスが表示されます。「カスタムベンチマーク」を作成すれば、ご自身の環境に合わせて、アラートをカスタマイズすることもできます。「規制ベンチマーク」を使用すると、業界標準の規制コンプライアンスと準拠することもできます。

▼VMware SDDC ベンチマーク
「vSAN セキュリティ構成ガイド」の「編集」でポリシーを有効化し、評価を行います。
評価後、遵守/非遵守の内容を確認します。
先の「vSAN のトラブルシューティング」で表示されていたセキュリティに関するアラームを、コンプライアンスからも確認することができます。

▼カスタム ベンチマーク
「カスタムコンプライアンスの追加」で、ご自身の環境に合わせて表示するアラートを選択することができます。

◆まとめ◆
vCenter Server で提供される vSAN の監視機能でも必要なパフォーマンス情報を得られますが、vROps を使用するメリットとして、仮想基盤全体を監視できること、必要な情報をカスタマイズ表示できることが挙げられます。
vSAN のデータストアはサーバーのローカルディスクで構成されますから、コンピューティングリソースは必要な監視対象です。また後半でご紹介したコンプライアンス機能を使用すれば、セキュリティ視点で安全な構成かどうかを監視できるのも大事な要素かと思います。
vROps はクラウドとも連携できますし、SaaS 製品としても提供されますから、vROps の活用の幅が広がりそうです。
vROps 8.0に関する本 Blog は Part8 で完了です。仮想基盤のキャパシティやパフォーマンスの課題にどのように対処するかを、こちらの Blog を参考にしていただければ幸いです。
この度もお読みいただき、ありがとうございました。