VMware Cloud Foundation vSphere

VMware vSphere 8 Update 3 の新機能

エンタープライズ ワークロード エンジン

 

vSphere 8 に豊富な機能アップデートがリリースされました。vSphere 8 Update 3 の登場です。vSphere 8 Update 3 の発表もあわせてお読みください。

これまでのUpdate 2、Update 1、初期リリースをベースにしてさらに機能が強化されます。以前のリリースの詳細については、下記リンクの記事をご参照ください。

 

 

 

 

 

ライフサイクル管理

 

vSphere を最新の状態に維持

 

ここでは、vSphere のライフサイクル管理の主要な領域と、その機能および 8 Update 3 の新機能に焦点を当てています。

 

vCenter のアップグレード時のダウンタイムの短縮(RDU : Reduce Downtime Update)

 

  • 最小限のダウンタイムで vCenter をパッチ適用およびアップデートし、vCenterの完全な展開トポロジーのサポートと、アップデート完了時のスイッチオーバーを自動的に実行する機能が追加されました。

 

vSphere Lifecycle Manager

 

  • vSphere クラスタとスタンドアロン ホストを対象にしたソフトウェア、ドライバー、ファームウェア スタックの管理では、Live Patch、強化されたイメージ カスタマイズ、デュアル DPU 構成が新たにサポートされています。

 

vSphere Configuration Profiles

 

  • vSphere クラスタのConfiguration Profiles構成管理では、vSphere Lifecycle Managerイメージによって管理されるクラスタの他、ベースライン(旧 Update Manager)を使用したクラスタが新たにサポートされます。

 

Live Patch

vSphere 8.0 Update 3以降では、ホスト全体を再起動したり仮想マシンをvMotionで退避したりすることなく、vSphere Lifecycle Manager イメージで管理されているクラスタ内の ESXi ホストに VMX (仮想マシン実行環境)関連のセキュリティ パッチとバグ修正を適用できます。

仮想マシンは、ホスト修正プロセスの過程で高速サスペンド/レジューム(FSR:fast-suspend-resume)されます。これは、ほとんどの仮想マシンにとって停止をもたらしません。仮想マシンの FSR は無停止の操作であり、仮想マシン運用ですでに使用されています(パワーオンされた仮想マシン上で仮想ハードウェア デバイスを追加または除去する際のテクノロジー)。

vSphere Lifecycle Manager のコンプライアンス スキャンによって、FSR に対応していない仮想マシンとその理由が報告された場合は、従来通りvMotionを利用して仮想マシンを退避します。

 

以下では、Live Patch の適用方法を例示しています。

 

  1. ホストは部分的メンテナンスモードに切り替わる
  2. 新しいマウント リビジョンがロードされる
  3. 新しいマウント リビジョンにパッチが適用される
  4. VM は高速サスペンド/レジュームし、パッチが適用されたマウント リビジョンを利用する

 

一部の仮想マシンは FSR に対応していません。vSphere Fault Tolerance を使用して構成された VM、Direct Path I/O を使用している VM、および vSphere Pods は FSR を使用できないため、手動で修正する必要があります。手動修正を行うには、その仮想マシンをvMotionで他のホストに移行するか、その仮想マシンの電源をオフ・オンを行います。

 

また、Live Patch は、TPM デバイスで構成されたシステムには対応しておらず、vSphere Distributed Services Engine を使用する DPU で構成されたシステムにも対応していません。

 

部分的メンテナンスモード

部分的メンテナンスモードは自動的に移行され、Live Patch 修正タスクの実行時に各ホストはこの状態に切り替わります。

 

この特殊な状態では、既存の VM は引き続き実行できますが、ホスト上での新しい新規 VM の作成や、VM のホストへの移行またはホストからの移行は許可されません。

 

Live Patch の詳細については、次の記事をご参照ください。

 

https://blogs.vmware.com/cloud-foundation/2024/07/11/vmware-vsphere-live-patch/

 

強化されたイメージ カスタマイズ

 

vSphere Lifecycle Manager のイメージを vSphere 8 Update 3 でさらにカスタマイズできます。

 

ESXiの基本イメージでは、VMware Host Client(ESXi UI)と ESXi VM Tools(VMware Tools)などのコンポーネントをイメージから削除できます。

 

ベンダー アドオンがある場合は、そのベンダー アドオンに属している特定のコンポーネントを最終イメージから除外することもできます。この除外機能には、新しいベンダー アドオン バンドルに新しいドライバーを導入する代わりに、既存のドライバー バージョンを保持する機能も含まれます。

 

お客様は、既存ドライバーの保持がサポートされていることをベンダーに確認する必要があります。

この機能により、一部の不要なコンポーネントを除去することで最終イメージのサイズを縮小できます。これは、リモートやエッジのユースケースにおいて便利で、ネットワーク経由で伝送する必要がある ESXi ホストの全体的なイメージ ペイロードを低減できます。

 

デュアル DPU のサポート

 

vSphere 8 Update 3 の vSphere Lifecycle Manager では、デュアル DPU 構成がサポートされています。シングル DPU 構成と同様に、vSphere Lifecycle Manager は両方の DPU ESXi バージョンを修正し、すべてのバージョンが同じバージョンに維持されるようにします。

 

vCenter Reduced Downtime UpdateRDU

 

vCenter Reduced Downtime Update は、すべての vCenter 展開トポロジーをサポートします。

 

  • 自己管理:vCenter VM は自己管理されます。
  • 非自己管理:vCenter VM は別の vCenter によって管理されます。
  • 拡張リンク モード:同じ SSO ドメインに参加している複数の vCenter インスタンス。
  • vCenter HA:vCenter High Availability 向けに構成された vCenter インスタンス。

 

Reduced Downtime Update を使用して vCenter のアップデートを実行する際は、アップデートの最終段階で自動スイッチオーバーが可能になりました。データコピーと最終確認の後にスイッチオーバーフェーズは直ちに開始され、約 2 ~ 5 分のサービス ダウンタイムを伴います。

スイッチオーバーは引き続き手動で開始して、スイッチオーバー(および短いダウンタイム)が発生する厳密なタイミングを制御できます。

 

vCenter Reduced Downtime Update の詳細については、以下の記事をご参照ください。

 

https://core.vmware.com/blog/vcenter-reduced-downtime-update-vsphere-8-u2

 

https://blogs.vmware.com/cloud-foundation/2024/07/11/vcenter-reduced-downtime-update-in-vmware-vsphere-8-update-3/

 

vSphere ハードウェア

 

vSphere Distributed Services Engine によるデュアル DPU サポート

 

vSphere 8 Update 3 では、vSphere Distributed Services Engine にデュアル DPU サポートが追加されました。デュアル DPU を 2 つの構成で使用できます。

 

高可用性 DPU 構成

 

1 つ目の構成では、2 つの DPU がアクティブ/スタンバイ高可用性で使用されます。この構成では、一方の DPU で障害が発生した場合に冗長性が提供されます。

HA 構成では、両方の DPU が NSX によってサポートされた同じ vSphere Distributed Switch に割り当てられます。

 

たとえば、DPU-1 は vSphere Distributed Switch の vmnic0 と vmnic1 に接続されて、DPU-2 は同じ vSphere Distributed Switch の vmnic2 と vmnic3 に接続されます。

ネットワーク オフロード キャパシティの増大

 

2 つ目の構成では、2 つの DPU が独立した DPU として使用されます。各 DPU は別々の vSphere Distributed Switch に接続されます。

 

この構成では、DPU 間のフェイルオーバーは発生しません。基本的に、この構成はシングル DPU 構成と同じですが、2 つの DPU をそれぞれの vSphere Distributed Switch に接続することで、ESXi ホストあたりのオフロード キャパシティを増やすことができます。

 

Intel® Xeon® CPU Max シリーズのサポート

 

vSphere 上で実行されているハイパフォーマンス コンピューティング ワークロードに、Intel が提供している最新のハードウェア アクセラレーション機能を活用できます。

 

Intel Xeon CPU Max シリーズを使用して、AI/ML ワークロードなどのハイパフォーマンス コンピューティング(HPC)アプリケーション要求を高速化できます。

 

Intel Xeon CPU Max シリーズでは、当 CPU 自体に埋め込まれた広帯域幅メモリ(HBM)が活用されます。

Intel Sapphire Rapids 世代(非 HBM sku を含む)には 4 つの独立したオンチップ アクセラレーターが搭載されています

 

現在、Intel は QAT と DLB 専用の 2 つのネイティブ vSphere ドライバーを開発して提供しています。

 

GPU を搭載した vSphere

 

vSphere 8 内の GPU プロファイル

 

旧 vSphere バージョンでは、ESXi ホスト上のすべての NVIDIA vGPU ワークロードでは、同じ vGPU プロファイル タイプと同じ GPU メモリ サイズが使用されている必要がありましたが、このような制限はなくなりました。

 

現在では、vGPU プロファイル タイプが異なる複数のワークロードを同じ物理 GPU に割り当て可能になりました。その結果として、GPU リソースの使用率が向上します。これらのプロファイルのメモリ サイズが異なっていてもかまいません(vSphere 8 Update 3 の新機能)。

GPU Media Engine(ME)を vGPU プロファイルに割り当てることもできます(vSphere 8 Update 3 の新機能)。

旧リリースでは、GPU Media Engine を使用できるのは、物理 GPU 全体を利用しているときのみでした。Media Engine をこれまでより小さい MIG(マルチインスタンス GPU)プロファイルに提示できます。

 

現在のハードウェアでは、一般に 1 つの Media Engine しかありません。単一の物理 GPU 上では、1 つの vGPU プロファイルのみが Media Engine を利用できます。同じ物理 GPU を使用している複数の vGPU プロファイル/vGPU VM の間で Media Engine を共有することはできません。

 

クラスタ レベルの GPU 監視

 

vSphere Client で GPU コンピュートと GPU メモリの利用状況を一目で確認できます。

 

vSphere Client では クラスタの[サマリ] タブに新しいタイルが表示されて、現在使用されている GPU リソースの概要と、クラスタで使用できる物理 GPU デバイスの合計数が示されます。

クラスタ パフォーマンス概要チャートには、クラスタの GPU コンピュートと GPU メモリの利用状況に関する履歴ビューとリアルタイム ビューが表示されます。

 

パススルー デバイス(vGPU)向けの vSphere DRS 設定

 

vGPU 対応仮想マシンの VM モビリティを簡単にアクティブ化

vGPU 対応仮想マシン向けの vSphere DRS 設定は、クラスタ DRS 設定で簡単に制御できます。

 

vGPU 対応 VM の自動 DRS 移行のためのマシン中断時間制限を有効にして設定します。

 

vGPU 対応 VM の VM モビリティによって、修正イベント時にホストからの vGPU VM の自動退避が可能になることで、GPU 対応クラスタのライフサイクル管理が効率化されます。

 

可用性と耐障害性

 

Embedded vSphere Cluster Service

 

vSphere Cluster Service(vCLS)は設計が変更された結果として、使用するリソースが少なくなり、ストレージ占有量がなくなり、vCLS 展開に関する問題が解消されています。

vSphere 8 Update 3ではEmbedded vCLS(組み込みvCLS)としてESXiホストのメモリ内で直接実行されるコンテナランタイム実行形式(Container Runtime Executive : CRX)に変更されました。

Embedded vCLS VM はストレージ占有量がゼロであり、ホスト メモリ内のみで実行されます。ESXi ホストによって Embedded vCLS VM が直接起動されます。vCenter からプッシュされる OVF 展開は存在せず、EAM(ESX Agent Manager)は使用されなくなりました。

 

クラスタあたりの vCLS VM 数も、Embedded vCLS の使用時は最大 3 つの VM から 2 つの VM に低減されました。シングル ノード クラスタでは、単一の Embedded vCLS VM が使用され、複数ホストのクラスタでは 2 つの Embedded vCLS VM が使用されます。

 

vSphere クラスタの [サマリ] タブでクラスタサービスタイプを簡単に識別できます。

 

新しい Embedded vCLS が使用されているクラスタでは、そ「組み込みvCLS」として報告されます。たとえば、vSphere 8 U2 クラスタでは「vCLS」という Cluster Service タイプが報告されます。

 

Embedded vSphere Cluster Service の詳細については、次の記事をご参照ください。

 

https://core.vmware.com/blog/embedded-vsphere-cluster-services-overview

 

https://core.vmware.com/resource/embedded-vsphere-cluster-services-deep-dive

 

vSphere Fault Tolerance のメトロ クラスタのサポート

 

vSphere Fault Tolerance を使用して構成された仮想マシンでは、ストレッチ/メトロ クラスタがサポートされます。

 

VM 上で Fault Tolerance をアクティブ化する際は、単に [Enable Metro Cluster Fault Tolerance] チェック ボックスを選択して、[Host Group] から適切なホスト グループを選択します。

 

プライマリ FT VM はホストグループで指定した優先サイトに配置され、セカンダリ VM は反対側のサイトに自動的に配置されます。

 

プライマリ FT VM を実行しているホストで障害が発生した場合は、セカンダリ FT VM が想定どおりに引き継ぎます。障害が発生した FT VM と同じサイト内の別のホストが選択され、2 サイト配置が持続されている間に FT が再確立されます。

 

サイト全体で障害が発生した場合は、障害が発生したサイトが復旧するまで、影響を受けた VM は正常なサイト側で FT 保護なしの動作を続けます。

 

ワークロード

 

CPU C ステートの仮想化

 

エネルギー効率は、通信と VRAN(仮想化無線 アクセス ネットワーク)のインフラストラクチャにとって非常に重要です。vSphere 8 Update 3 では、物理 CPU の C ステートを仮想化してワークロード内から管理できます。

 

アプリケーションとプロセスがアイドル状態のときは、ワークロードは、物理コアが C ステート 6 などの省電力モードに入るように要求できます。

 

ワークロードがこの要求を行ったときに、パフォーマンスを最大化するために CPU を再アクティブ化できます。Cascade Lake 以降の Intel CPU とゲスト OS の intel_idle ドライバーが必要です。

 

コンテンツ ライブラリからの展開時に仮想ハードウェアをカスタマイズ

 

コンテンツ ライブラリから展開された OVF/OVA テンプレートのハードウェアは、展開後ではなく展開ウィザードの実行時にカスタマイズできます。

 

これにより、アプライアンスとテンプレート仮想ハードウェアのカスタマイズを効率化できるとともに、希望のハードウェア コンポーネントが追加されてワークロード向けに構成されるようになります。

 

仮想マシンが無効化された運用

 

VMware のソリューションとサードパーティ ソリューションでは、特定の活動時に移行操作などの特定の vSphere 操作が無効化されます。たとえば、VM バックアップ ソリューションでは、バックアップ タスクの進行中は、このタスクの失敗を防止するために、vMotion を使用して VM を移行する機能が無効化される可能性があります。

 

そのタスクが完了したら、無効化された方法/操作を再アクティブ化する必要があります。ただし、状況によっては、その方法が再アクティブ化されないことがあります。

 

vSphere 8 Update 3 では、管理者は vSphere Client から各種の操作を簡単に再アクティブ化できます。

 

セキュリティとコンプライアンス

 

vSphere Identity Federation での PingFederate のサポート

 

vSphere では、外部 ID プロバイダーとして PingFederate が新たにサポートされています。

vSphere 7 および 8 の存続期間全体にわたって、弊社は最新の認証を vSphere に導入するためのさまざまな方法を追加してきました。vSphere 8 Update 3では、PingFederate のサポートが追加されました。すでにサポートされている Entra ID、Okta、ADFS に加えて、PingFederate が新たにサポートされることで、vSphere は非常に柔軟に ID 管理とアクセス制御を扱えるようになります。

 

TLS と暗号スイート プロファイルのサポート

 

API を使用したプロファイルベースのアプローチを使用してすばやく構成されたベスト プラクティスと最新 TLS 暗号です。vSphere 8.0 U3 では NIST_2024 プロファイルをサポートし、API、Configuration Profile (構成プロファイル)、または PowerCLI スクリプトを使用して設定できます。

現時点では NIST_2024 という 1 つのプロファイルのみが存在し、このプロファイルを設定する方法としては、API 呼び出し、Configuration Profiles、または PowerCLI スクリプトを使用できますが、率直に言えば PowerCLI スクリプトが一番簡単です。

 

プロファイルの設定方法については、vSphere 8 のセキュリティ構成ガイドにいくつかの例が掲載されています。そして、プロファイルを有効にするには ESXi ホストを再起動する必要があるため、プロファイルの設定はパッチの直前に実行できます。

 

セキュリティ構成ガイドとベースライン

 

セキュリティ構成ガイドは vSphere 8 Update 3 に対応するように更新されており、このガイドには vSAN 8 Update 3 のガイダンスが含まれています。

 

例えばvSANの転送中データの保護を有効にして、保存データの暗号化を有効にすれば操作は完了です。高度なセキュリティを非常に簡単に有効にできるということです。チェックボックスを選択するだけであり、複数年にわたるプロジェクトは必要ありません。

 

セキュリティ構成ガイドにはいくつかの事項が追加されています(新しい TLS プロファイルや、VM 起動オプションの制御に関するガイダンスなど)。

 

このガイドでは、STIG ガイダンス、PCI DSS 4.0 ガイダンス、ベースラインがわかりやすい形で比較されているため、ベースラインとこれらのコンプライアンス フレームワークの相違点を正確に理解できます。

 

そして現在は、このガイドの内容の大部分を監査および修正するためのスクリプトが用意されているため、新しい環境をセットアップするお客様は作業をすばやく完了して、監査担当者も自身の記録の出力を取得できます。

 

vSphere IaaS 制御プレーン

 

vSphere IaaS 制御プレーンの全新機能については、vSphere IaaS 制御プレーン向けの vSphere Update 3 の新機能という記事をご参照ください。

 

コア ストレージ

vSphere コア ストレージの全新機能については、vSphere コア ストレージの新機能という記事をご参照ください。

 

注意

 

アップグレードの計画

 

vSphere 8 は 2022 年 10 月に初期リリースされて、1 年目には 2 つの大きなアップデートを経ました。機能豊富なアップデートの流れを引き継ぎながら、vSphere 8 Update 3 は 2024 年 6 月 25 日にリリースされました。今は、vSphere 7 が 2025 年にジェネラル サポートの終了(EOGS)を迎える予定であることをお知らせするのによいタイミングです。vSphere 8 へのアップグレードや移行の計画を開始することをお勧めします(まだお済みでない場合)。

 

詳細については、vSphere 8 アップグレード アクティビティ パスVMware vSphere のパッチ適用に関するベスト プラクティスという記事をご参照ください。

 

非推奨と廃止の対象

 

時間の経過に伴って、テクノロジーが変化して、弊社がお客様のニーズに適応するにつれて、vSphere のさまざまな機能が非推奨になります。vSphere 8 における発表済みの非推奨と廃止の対象に加えて、Update 3 で非推奨の対象として発表されているのは、vSphere Trust Authority と、IO レイテンシに基づく初期配置と負荷分散を利用したStorage DRSStorage IO Control です。非推奨対象の全リストについては、vCenter と ESXi 8 Update 3 のリリース ノートをご参照ください。

 

非推奨となった機能は vSphere 8 でも引き続きサポートされますが、将来のメジャー バージョンではサポートされなくなります。

Féidhlim O’Leary