はじめまして、VMware TAM の貫(ぬき)です。
今回は 2021 年 1 月から実施が予定されている SaaS 版 Workspace ONE UEM(旧称 AirWatch)が稼働する基盤の移行作業について、概要と運用上の考慮ポイントをご紹介します。運用を担当されている方の目線で、作業の前後に必要な対応を記載していますので、Workspace ONE の運用に携わられている方は是非ご一読ください。また、本記事で取り扱っている内容は以下のナレッジベース(KB)記事にも記載されていますので、合わせてご参照ください。
Workspace ONE UEM 環境の VMware Cloud on AWS データセンターへの移行に関する FAQ (日本のデータセンター) (81461)
移行作業の概要
日本において、VMware が提供する SaaS 版 Workspace ONE UEM は AWS 上で構築・稼働しており、基盤側で何らかの障害が発生した場合には、国内の別リージョンにフェイルオーバーすることにより高可用性を担保する設計となっています。
今回の作業では、これまで AWS 上で稼働していた環境が、複数の Availability Zone(AZ)で構成された VMware Cloud on AWS(VMC)に移行されます。これにより、時間のかかるリージョン間のフェイルオーバーによる高可用性構成から、短時間で切り替え可能な複数 AZ に跨る両アクティブの負荷分散・高可用性構成へと移行することができ、現行システムと比較して以下のポイントの改善・強化が期待されています。
- 旧来の DR モデルからの脱却
- 両アクティブモデルの採用による AZ 間の負荷分散
- 単一ゾーン障害発生時の復元力の向上
- RTO/RPO 時間の短縮
- メンテナンスウィンドウの短縮
対象となる環境
VMware が提供する共有型 SaaS、占有型 SaaS で Workspace ONE UEM を利用している環境が対象です。オンプレミスに構築された Workspace ONE UEM や他の Workspace ONE ファミリー製品(Access, Intelligence, Assist)は対象外*1です。
通信キャリア様、サービスプロバイダー様など、VMwareの パートナー様から提供されているサービスをご利用の場合は環境毎に状況が異なるため、それぞれのサービス提供元様の情報をご確認下さい。
*1 現時点では明確な予定はありません。今後アナウンスされる可能性があります。
移行スケジュール
移行作業は日本時間の深夜帯(0 時 – 6 時 または 23 時 – 翌 5 時)に予定されています。
ご利用されている環境の移行スケジュールについて、以下の方針に基づき Technical Account Manager(TAM)や Support Account Manager(SAM)から本件のご説明と併せて日程調整を実施しております。
- 共有 SaaS をご利用のお客様
複数のお客様で共有利用されている環境のため、日程変更のご依頼はお受けできません。 - 占有 SaaS をご利用のお客様
日程変更をご希望の場合は担当 TAM/SAM までご連絡下さい。
UAT 環境をお持ちのお客様は、UAT 環境が先行して移行されます。
* 残念ながら、アップグレード作業などと同日での作業依頼はお受けできません。
TAM/SAM サービスをご利用でないお客様は、Workspace ONE UEM に管理者として登録されている方(以下 KB 記事参照)のメールアドレス宛に 5-10 日前にシステムより通知が送信されるため、そちらでご確認下さい。システムからの通知前に作業日程の事前確認が必要となる場合は、Support Request(SR)を発行し、サポート窓口までお問合せ下さい。
AirWatch 環境のメンテナンス通知を受け取る方法 (50122188)
変更点と想定されている影響
VMC への移行に伴い、いまお使いの環境にどの様な変更や影響があるのかが気がかりかと思います。
ここでは、弊社内の SaaS 運用チーム、SAM、TAM、Technical Specialist Service(TSS)メンバーで確認・検討・把握できていることを中心に記述しています。*2
- 移行作業中(6 時間)の内、最大 2 時間のダウンタイムが発生します。
停止対象は月次メンテナンス作業時と同様です。
よくあるご質問:VMware Workspace ONE SaaS 環境の月次メンテナンス (2960626)
* 冒頭にご紹介した FAQ の KB にも記載があります。 - 移行作業中に SaaS 環境のグローバル IP アドレスが変更されます。
通常の IP アドレス変更と同様に、下記 KB にて公開済みです。
VMware Workspace ONE SaaS データ センターの IP 範囲 (2960995) - 移行作業前にファイアウォールルールなどの確認/見直しが必要です。
SaaS 環境のグローバル IP アドレスが変更されるため、ご利用の環境で Workspace ONE 関連サーバー、管理対象デバイスの送信/受信方向のトラフィックを制御(フィルタリング)されている場合は、ファイアウォールルールなどの見直しが必要です。 - 移行作業後にオンプレミスの Workspace ONE 関連サーバーの再起動をご検討ください。
SaaS 環境のグローバル IP アドレスが変更されるため、連携して動作する Workspace ONE 関連サーバーの DNS キャッシュ、セッションの破棄/更新を確実に行う目的で、再起動を推奨しております。
代表的な対象サーバーは次の通りです。-
AirWatch Cloud Connector (ACC)
-
Unified Access Gateway (UAG)
-
Tunnel / Tunnel Proxy
-
Content Gateway (CG)
-
Secure Email Gateway (SEG)
-
Email Notification Services (ENS)
-
*2 お客様の環境でどの様な影響が生じるかについては個々のネットワーク環境に依存する点もあるため、全てのケースを網羅できるものでは無いことをご了承ください。
運用上の注意ポイント
ここまでの情報を踏まえ、運用担当者が何をすべきかという点をまとめました。
皆様の中で、必要な運用対処を決定する際に参考にしていただけますと幸いです。
- 利用している環境が作業の対象であるか確認する。
共有/占有 SaaS 環境が対象となりますが、判断がつかない場合は担当の TAM/SAM にご相談下さい。 - ファイアウォールルールなどの変更が必要か確認する。
デバイスや Workspace ONE 関連サーバーと SaaS 間の通信制御を行っているか確認し、必要に応じて許可する送信元/宛先の追加を実施ください。 - 社内へのサービス停止周知が必要か確認する。
システムの運用ポリシーに照らし、周知が必要であるかご検討ください。 - 作業後に Workspace ONE 関連サーバーを再起動する。
SaaS との接続を正常化するために各サーバーの再起動をご検討ください。 - 移行作業に関する不明点などがあれば、SR を発行し、サポート窓口までお問合せ下さい。
判断がつかない点、SR 起票前の相談などがあれば、担当の SAM/TAM にご相談下さい。
最後に
最後までお読みいただきありがとうございます。
今回の内容はいかがだったでしょうか。どこか一つでも皆様のお役に立てる箇所があれば幸いです。
VMware TAM サービスでは、この様な日頃の安定運用に根差した維持運用面での活動はもちろんのこと、お客様の業務や環境を深く理解した担当者が、ご導入いただいた製品を最適な状態で活用していただく様に、継続的なご支援をご提供するサービスとなっております。
働き方改革の一環でスマートフォンの全社配布に踏み切ったが、投資に見合う程の活用が図れていない、進化の早いモバイルデバイスの変更点をキャッチアップし、セキュアに安定運用することに苦労しているなどの課題があれば、是非とも TAM サービスのご活用を検討ください。
下記サイトで、実際に Workspace ONE TAM サービスをご活用いただいている事例をご紹介しております。ご興味がございましたら、合わせてご参照下さい。
