VMware Hands-on Labs - HOL-1845-01-SLN


実習ラボの概要: HOL-1845-01-SLN: インフラストラクチャの刷新: 独自の Software-Defined Data Center (SDDC) を構築

実習ラボのガイダンス


注: この実習ラボの所要時間は 90 分以上を想定しています。1 回のラボ時間あたり 2 ~ 3 モジュールを目安に学習してください。モジュールは相互に独立しているため、どのモジュールから開始することも、どの順序で実施することもできます。各モジュールには、目次から直接移動できます。

目次を表示するには、実習ラボ マニュアルの右上の [目次] をクリックします。

この実習では、VMware テクノロジーを使用してインフラストラクチャを刷新し、Software-Defined Data Center (SDDC) のメリットを活用することの価値について解説します。コンピューティング、ストレージ、ネットワークの仮想化をデータセンター全体に拡張し、環境をプロアクティブに監視および管理するためのインテリジェントな運用管理機能を追加するプロセスとその要件を示します。

実習ラボのモジュール リスト

「インフラストラクチャの刷新」 について説明すると共に、コンピューティング、ストレージ、ネットワークの仮想化をデータセンター全体に拡張し、インテリジェントな運用管理を追加することによって得られるメリットを確認します。この実習ラボでは、VMware テクノロジーを使用してインフラストラクチャを刷新し、Software-Defined Data Center (SDDC) を最高の状態にするために必要なプロセスの概要を説明します。

IT 環境をプライベート/パブリック クラウド全体に拡張するための基礎を築きながら、仮想インフラストラクチャを構築および管理し、Software-Defined Data Center (SDDC) の基盤を構築するために役立つ vSphere 6.5 の機能を紹介します。

仮想化をストレージ環境に容易に拡張できる VMware vSAN について説明します。vSAN は、vSphere に組み込まれている唯一のストレージ ソリューションであり、高パフォーマンスで、フラッシュ用に最適化されたハイパーコンバージド ストレージを仮想マシンに提供します。

vSphere 環境における VMware NSX の主要機能を確認し、ネットワークとセキュリティの仮想化が Software-Defined Data Center (SDDC) において果たす役割について学習します。

 実習ラボ責任者:

 

この実習ラボ マニュアルは、次のハンズオン ラボ ドキュメント サイトからダウンロードできます。

http://docs.hol.vmware.com/

一部の実習ラボは、英語以外の言語でも提供されています。言語設定を変更して翻訳版のマニュアルを実習ラボで使用する手順については、次のドキュメントを参照してください。

http://docs.hol.vmware.com/announcements/nee-default-language.pdf


 

メイン コンソールの表示位置

 

  1. 図の赤枠で囲まれた領域がメイン コンソールです。実習ラボ マニュアルは、メイン コンソールの右側のタブに表示されます。
  2. 実習ラボによっては、左上のタブに別のコンソールが用意されていることがあります。その場合、実習ラボ マニュアルの説明に従って、指定されたコンソールを開いてください。
  3. 実習ラボを開始すると、90 分のタイマーが表示されます。このラボで行った作業内容は保存できません。すべての作業は、実習ラボ セッション内に完了してください。 必要であれば、[延長] をクリックして時間を延長できます。VMware イベントでご使用の場合は、実習ラボの時間を 2 回まで、最大 30 分延長できます。[延長] を 1 回クリックするたびに、時間が 15 分間延長されます。VMware イベント以外でご使用の場合は、実習ラボの時間を最大 9 時間 30 分延長できます。[延長] を 1 回クリックするたびに、時間が 1 時間延長されます。

 

 

キーボード以外の方法によるデータ入力

このモジュールでは、メイン コンソールでテキストを入力します。複雑なデータを入力する場合、キーボードから直接入力する以外に、次の 2 つの方法があります。

 

 

クリック アンド ドラッグによるコピー

実習ラボ マニュアルに記載されているテキストやコマンド ライン インターフェイス (CLI) のコマンドをクリック (選択) し、メイン コンソールのアクティブ ウィンドウまで直接ドラッグできます。 

 

 

オンラインの国際キーボードを使用する

 

キーボード配列によっては、特定の文字や記号が入力しにくいことがあります。そのような場合、メイン コンソールに、オンラインの国際キーボードを表示して使用すると便利です。

  1. 国際キーボードを表示するには、Windows のクイック起動タスク バーで、キーボードのアイコンをクリックします。

 

 

Windows アクティベーションに関するウォーターマーク

 

実習ラボを初めて開始すると、Windows のライセンス認証が完了していないことを知らせるウォーターマーク (透かし) がデスクトップに表示される場合があります。 

仮想化の大きなメリットの 1 つは、仮想マシンを任意のプラットフォームに移動して実行できることです。 ハンズオン ラボも、このメリットを活用して複数のデータセンターから実行できるようになっています。 ただし、データセンターによってプロセッサーのタイプが異なることがあり、そのような場合、インターネット経由で Microsoft 社のアクティベーション チェックが行われます。

VMware とハンズオン ラボは Microsoft 社のライセンス要件に完全に準拠しているので、安心してご利用ください。この実習ラボは自己完結型ポッドであり、Windows のアクティベーション チェックに必要なインターネットへのフル アクセス権限がありません。インターネットへの完全なアクセスがないと、この自動プロセスは失敗し、このようなウォーターマークが表示されます。

これは表面上の問題であり、実習ラボには影響しません。 

 

 

画面右下でラボの準備完了を確認

 

画面の右下の [Lab Status] にラボの準備状況が表示されます。表示が [Ready] になってから、学習を開始してください。[Ready] になるまで数分間かかります。 5 分経過しても [Ready] にならない場合は、サポートにお問い合わせください。

 

モジュール 1: IT の刷新の概要 (15 分)

はじめに


このモジュールは次のレッスンで構成されています。


最新のインフラストラクチャについて


インフラストラクチャの刷新とは

インフラストラクチャの刷新とは、Software-Defined Data Center (SDDC) を活用するという考えを指し、これにはコンピューティング、ストレージ、ネットワークの各リソースの仮想化が必要となります。この実習ラボでは、vSphere 6.5 (コンピューティング)、vSAN (ストレージ)、NSX (ネットワーク) の各 VMware 製品を取り上げてインフラストラクチャを刷新する方法を示し、vRealize Operations (vROps) を使用して監視とアラートを行います。


 

マルチ クラウド時代におけるデジタル ビジネスの進化

現在、データセンター インフラストラクチャでは大きな変革が進んでいます。仮想化テクノロジーにより、コンピューティングの仮想化が急速に進みました。しかし、それによってデータセンターでは、効率性の高いコンピューティング レイヤーとそれ以外、特に共有ストレージおよびネットワーク サービスとの間にずれが生じることとなりました。結果的に、多くの企業は、高いストレージ コスト、複雑な管理、ネットワークの観点から見た柔軟性の限界といった問題に直面しています。

また、こうした基本的な課題に加え、次に挙げる 3 つの傾向が、IT のインフラストラクチャと運用に一層重圧をかけています。

当然ながら、従来のデータセンターでは対応に限界があるため、進化が必要です。

 

 

 

最新のインフラストラクチャと VMware のアプローチについて

VMware は、コンピューティングの仮想化で成果を挙げた方針を応用することで、お客様のデータセンターの刷新をお手伝いしています。その様子を約 13 分間のビデオでご覧ください。

 
 

 

まとめ


モジュール 1 はこれで終了です。インフラストラクチャ刷新のための Software-Defined Data Center (SDDC) 活用法についての詳細は、eBook (http://bit.ly/2tzpHh1) でご覧いただけます。モジュール 2 ~ 4 では、このモジュールで話題にしたすべてのテクノロジーについて説明します。


 

モジュール 1 の終了

次のうち、もっとも興味のあるモジュールに進んでください。

 

 

 

実習ラボの終了方法

 

実習ラボを終了するには、[終了] ボタンをクリックします。

 

モジュール 2: コンピューティングの仮想化: vSphere 6.5 (30 分)

はじめに


このモジュールは次のレッスンで構成されています。


コンピューティングの仮想化


コンピューティングの仮想化とは、仮想マシン (VM) 内のメモリーとプロセッサーの両方のリソースの仮想化を指します。


 

vSphere 6.5: 大幅に簡素化された環境

vSphere 6.5 は、お客様の環境をまったく新しいレベルに高め、シンプルなカスタマーエクスペリエンスを提供します。大幅に管理を簡素化し、運用効率を向上して、価値の実現までの期間を短縮します。

vSphere 6.5 では、vCenter Server Appliance (VCSA) が vSphere 環境の基本的な構成要素になります。コアとなる vSphere アーキテクチャは、導入と管理を容易にする方法に沿って構築されており、重要な機能を 1 か所に組み込むことで運用の複雑さを低減しています。vSphere のホスト管理 (vSphere Update Manager (VUM) インスタンスとの完全統合)、ファイル ベースのバックアップとリカバリ、ネイティブ VCSA の高可用性 (HA) のほか、多くの機能がこの新しい総合的なアプライアンス モデルに組み込まれました。統合されたパッチ適用により、複数のコンポーネントとやり取りする必要がなくなったため、操作の効率が向上します。さらに、すべてが統合された VCSA は一段と最適化され、イノベーションが加えられており、スケーラビリティが 2 倍以上、パフォーマンスが 3 倍以上に強化されています。ユーザーは vCenter Server Appliance 移行ツールを使用して、1 ステップで従来の Windows 環境を新しいアプライアンス モデルに変換できるため、アップグレードがこれまで以上に容易です。

 

 

 

組み込みの包括的なセキュリティ機能

脅威が高まるにつれ、組み込みの包括的なセキュリティ機能がこれまで以上に重要になります。vSphere 6.5 は、シンプルに運用できるポリシー ベースのモデルによって、大規模なデータ、インフラストラクチャ、アクセスをネイティブに保護します。この 3 つの領域をすべて保護することは、デジタル トランスフォーメーションとあらゆるビジネスの進化にとって不可欠です。

データのセキュリティを確保するため、vSphere 6.5 では、新しい仮想マシン レベルのディスク暗号化機能を備えており、不正なアクセスからデータを保護します。VMware のアプローチは、汎用的であると同時にスケーラビリティに優れており、ゲスト OS に関係なくあらゆる仮想マシンのディスクを暗号化できるだけでなく、使い慣れた vSphere ストレージ ポリシー フレームワークを使用して、大規模な暗号化を管理できます。これらの機能を新機能の暗号化された vMotion と組み合わせて使用することで、vSphere では保存時と移動時の両方でデータを保護できます。

基盤となるインフラストラクチャのセキュリティを確保するために、vSphere 6.5 には、ハイパーバイザーとゲスト OS の両方を保護するセキュア ブート モデルも追加されています。これは、イメージの改ざんや不正なコンポーネントのロードの防止に役立ちます。

vSphere 6.5 には、監査に対応できるログ収集機能も導入されており、ユーザー アクションに関する詳細な情報を提供します。そのため、IT 部門は、異常やセキュリティ上の脅威について調査する際、誰が、いつ、どこで、何を行ったかを把握しやすくなっています。

vSphere 6.5 はセキュアな Software-Defined Data Center (SDDC) の中核であり、ほかの SDDC 製品とシームレスに連携してインフラストラクチャに適した包括的なセキュリティ モデルを提供します。

 

 

vSphere 6.5 の詳細


このセクションでは、(Flash/Flex) Web Client と HTML5 Client の両方を使用して vSphere 6.5 を操作します。


 

クライアントの選択

vSphere 6.5 では、Web Client (Flash/Flex) と HTML5 Client の 2 種類のクライアントをブラウザー経由で使用できます。Web Client は、ファット クライアントとも呼ばれる従来の C# クライアントとまったく同等の機能を備えています。HTML5 Client は、vSphere 6.5 にパッケージングしていた以前の VMware Fling ですが、機能は限定されています。 

 

 

vSphere Web Client へのログイン

 

Chrome で、ブックマーク バーから [vCenter (Web Client)] を選択します。

 

 

vSphere 6.5 Web Client の操作

 

ログインしたら、インターフェイスを理解しておきましょう。最初のページには [Hosts and Clusters] ビューが表示され、ここで 6 つの ESXi ホストすべてと、設定済みの 2 クラスター構成を確認できます。

2 つのクラスターには、ESXi ホスト 3 つをホストするコンピューティング クラスター (RegionA01-COMP01)、3 層 アプリケーション (これについてはモジュール 4 で詳しく説明します)、残りの 3 つのクラスターをホストする管理クラスター (RegionA01-MGMT01) があります。これらのホストのそれぞれについて、NSX Controller を構成しています。

 

 

暗号化された vMotion

vSphere 6.5 の新機能の 1 つに暗号化された vMotion があります。暗号化された vMotion の設定には 3 つのオプションが用意されています。

  1. Disabled
    • 使用できる場合でも、暗号化された vMotion を使用しない。
  2. Opportunistic
    • 移行元と移行先のホストでサポートされている場合は、暗号化された vMotion を使用し、それ以外の場合は、暗号化されていない vMotion に戻る。これがデフォルトのオプションです。
  3. Required
    • 暗号化された vMotion のみ許可。移行元または移行先のホストで暗号化された vMotion がサポートされていない場合、vMotion による移行は許可されない。

 

 

vSphere 6.5 HTML5 Client の概要

 

Chrome のブックマーク バーで [vCenter (HTML5 Client)] を選択します。

 

vSphere 6.5 の管理


このセクションでは、vSphere 6.5 の管理について説明します。


 

Google Chrome を起動

 

 

 

vSphere アプライアンス管理にログイン

Chrome を開いたら、ブックマーク バーから [vCenter Management] をクリックします。

 

インテリジェントな運用


このセクションでは、vSphere 環境の監視に使用される vRealize Operations Manager ダッシュボードについて説明します。


 

vRealize Operations Manager (vROps)

VMware は、SDDC とマルチクラウド環境を計画、管理、拡張するために、アプリケーションからインフラストラクチャまで網羅するインテリジェントな運用機能を提供しています。拡張性に優れた、直感的に操作できる運用プラットフォームにより、SDDC とマルチクラウド環境全体でのアプリケーションを認識した監視、トラブルシューティング、インフラストラクチャとアプリケーションの健全性の包括的な把握ができ、パフォーマンスと可用性が向上します。

ワークロードの調整の自動化と、問題や異常のプロアクティブな検出および自動修正により、インフラストラクチャとアプリケーションの管理を自動化して運用を簡素化することも可能です。また、運用とビジネスに関する情報の関連付けによって、マルチクラウド環境におけるクラウドの計画と配置を迅速に決定できるほか、キャパシティ使用率の最適化、キャパシティ ニーズの正確な予測、標準の適用によってコストとリスクを低減できます。

 

 

 

vROps へのログイン

 

Google Chrome を開きます。

 

 

ダッシュボードの表示

 

ログインして最初の画面で、環境の概要を確認できます。この例では、1 つの vCenter と 1 つのデータセンターがあり、すべてが健全であることから、ステータスが緑色で表示されています。[Dashboards] をクリックして、ダッシュボードに移動しましょう。

 

 

vROps によるアラート

 

vROps のアラートを確認するには、メニュー バーの [Alerts] タブを選択します。[Today] を展開すると、その日のアラートが表示されます。

 

 

[Environment Overview] を確認

 

ここで最後に見るのは、[Environment] セクションです。最上部のメニュー バーから [Environment] を選択します。

 

 

vROps からログアウト

 

vROps からログアウトして、ブラウザーを閉じます。

 

まとめ


このモジュールでは、(Flash/Flex) Web Client と HTML5 Client の両方を使用して vSphere 6.5 の詳細を確認しました。VCSA の管理ポータルを操作し、vROps で環境を監視しました。


 

モジュール 2 の終了

モジュール 2 はこれで終了です。

vSphere 6.5 の詳細については、以下を参照してください。

次のうち、もっとも興味のあるモジュールに進んでください。

vSphere 6.5 や vROps をさらに詳しく学んでいただけるよう、以下のハンズオン ラボもご用意しています。

 

 

実習ラボの終了方法

 

実習ラボを終了するには、[終了] ボタンをクリックします。

 

モジュール 3: ストレージの仮想化: vSAN 6.6 (30 分)

はじめに


「最新のインフラストラクチャを独自に構築する」 というアプローチで Software-Defined Data Center (SDDC) を構築する際に、VMware のストレージ仮想化製品である vSAN を使用すると、直接接続型ストレージ (DAS) を備えた業界標準の x86 サーバーを、ソフトウェア ベースのコンピューティングおよびネットワークを備えた費用対効果と拡張性の高い構成要素に変えることができます。この革新的な Software-Defined のアプローチは、デジタル トランスフォーメーションをサポートするパワフルで導入しやすい統合管理ソリューションを含む統合プラットフォームにより、企業の俊敏性と柔軟性の向上を促進します。

このモジュールは次のレッスンで構成されています。


VMware vSAN の概要


このセクションでは、VMware vSAN によるストレージの仮想化の概要、およびこの環境に vSAN を導入し有効化するための要件について説明します。


 

vSAN を使用して最新のインフラストラクチャを独自に構築

VMware vSAN は、Software-Defined Data Center の構築に使用するデフォルト プライマリ ストレージです。各システムの構成と組み立てのプロセスは、互換性のあるハードウェアを使用して標準化できるため、すべてのコンポーネントを同様の手順で各ホストにインストールできます。標準化によって多様化を防げることから、管理やサポートが容易なインフラストラクチャを実現するには、ESXi ホストの物理構成全体の標準化が不可欠です。特にネットワーク コントローラーについて、PCI カード スロットの場所の統一が、物理 I/O と仮想 I/O を正確に対応付けるうえで重要です。

 

 

VMware vSAN の概要

vSAN は、業界をリードする VMware のハイパーコンバージド システムを支える Software-Defined Storage ソリューションです。vSphere に組み込まれたストレージを提供し、ハードウェア ソリューションとソフトウェア ソリューションの広範なエコシステムから選択できるのは、vSAN だけです。リスクを負うことなくハイパーコンバージド インフラストラクチャ (HCI) を進化させながら、リソースを戦略的なプロジェクトに移行させたいと考えている企業にとって、このソリューションは理想的な第一歩となります。調査によると、vSAN を使用すると、データセンターの設置面積、労働力、電力、および冷却コストの削減により、運用コストが最大 60 % 低減されます。 

vSAN は vSphere と完全に統合され、DRS、HA、vMotion などの一般的な vSphere 機能のすべてをサポートしています。また、大規模な自動化環境向けに、vRealize Suite とも統合されています。

主なポイント:

技術的な特長:

 

 

vSAN の要件: vCenter Server

vSAN 6.5 を利用するには、vCenter と ESXi がどちらもバージョン 6.5 であることが必要です。vSAN は、vCenter Server Appliance (VCSA) と Windows 版の vCenter Server のどちらでも管理できます。vSAN を構成するには、vSphere Web Client を使用する必要があります。

 

 

vSAN の要件: ESXi

vSAN クラスターを形成するには、3 台以上の vSphere ホスト (各ホストがローカル ストレージを搭載) が必要です。これにより、少なくとも 1 台のホストの障害に耐えられるという最小の可用性要件を満たすクラスターを実現できます。vSphere ホストでは、vSphere 6.5 を実行している必要があります。ホストの数がこれよりも少ないと、1 台のホストがダウンした場合、仮想マシンの可用性にリスクが発生します。サポートされるホストの最大数は 64 です。

vSAN にローカル ストレージを提供するクラスター内の各 vSphere ホストは、少なくとも 1 台のハード ディスク ドライブ (HDD) と 1 台のソリッド ステート ディスク ドライブ (SSD) を搭載している必要があります。

 

 

vSAN の要件: ディスクとネットワーク

重要: 必ず、vSAN 向けの vSphere 互換性ガイドに記載されているコンポーネント (ハードウェア、ドライバ、ファームウェア) を使用してください。記載されていない構成は一切使用できません。

VMkernel ポートには vSAN のラベルが付いています。このポートは、クラスター内のノード間の通信に使用されます。また、特定の仮想マシンを所有する vSphere ホストと、その仮想マシン ファイルを構成する実際のデータ ブロックが置かれている vSphere ホストが同じクラスター内で別々に存在している場合は、読み取りや書き込みにもこのポートが使用されます。この場合、I/O は、クラスター内のホスト間で構成されたネットワーク上を経由する必要があります。

 

 

VMware vSAN の詳細


このセクションでは、vSphere Web Client を使用して vSAN を有効化し、管理および監視する方法について解説します。

まず、VMware vSAN を使用する場合、クラスターのすべてのホストにストレージ仮想アプライアンスを導入する、または vSphere インストール バンドル (VIB) をインストールする必要はないということに注意してください。vSAN は、vSphere ハイパーバイザーにネイティブに対応しており、各ホストで消費するコンピューティング リソースは 10 % 未満です。また、ほかの仮想マシンとリソースを競合せず、I/O パスが短縮されています。

 

vSAN のカーネル操作により、ほかのシステムでは実現しない効率が生まれます。また、この技術には、緊密に連携され簡素化された管理モデルをはじめとする、ネイティブなシステム レベルの vSphere の機能すべてが引き継がれています。

このレッスンでは、vCenter から vSphere Web Client を使用して行えば、いかに簡単に vSAN を有効化して管理できるかということを説明します。


 

vSAN を有効化する際の注意事項

vSAN クラスターには、ストレージ ディスクを搭載するホストと、ストレージ ディスクを搭載しないホストを混在させることができます。

vSAN クラスターを作成する際は、次のガイドラインに従ってください。

vSAN を有効化すると、vSAN ストレージ プロバイダーが vCenter Server に自動的に登録され、vSAN データストアが作成されます。

 

 

Chrome ブラウザーを開く

 

  1. Windows のクイック起動タスク バーで [Chrome] アイコンをクリックします。

 

 

vSphere Web Client の [Home] ページへ移動

 

ログインすると、vSphere Web Client の [Home] ページが表示されます。

画鋲アイコンをクリックすると、[Recent Tasks] ペイン、[Alarms] ペイン、[Work In Progress] ペインを最小化または最大化できます。

 

 

vSAN の有効化

[RegionA01-COMP01] を選択し、[Configure] - [vSAN] - [General] の順にクリックして [Configure] を選択します。

この実習環境では、vSAN が無効になっているため、RegionA01-Com01 クラスターの vSAN を有効にします。

注: この実習環境では、vSAN は RegionA01-COMP01  のみ構成および有効化します。ESXi ホスト 3 台すべてが、キャッシュ用キャパシティ用のストレージを提供して vsanDatastore を形成します。

 

 

vSAN の構成

 

[Configure vSAN] ダイアログが表示されます。この実習ラボでは、デデュープおよび圧縮を有効化しません。また、障害ドメインとストレッチ クラスターを構成しません。

1. [Next] をクリックして、vSAN の有効化を続行します。

 

 

vSAN のディスク クレーム

 

クレームの対象となるディスクはありません。この実習ラボでは、ディスクの構成はすでに完了しています。

  1. [Next] をクリックします。
  2. [Finish] をクリックします。

 

 

vSAN の [General] タブ

 

[General] タブには、vSAN サービスのステータス、および vSAN クラスターで有効化されている機能が表示されます。この時点では、[vSAN is Turned ON] と表示されており、[Deduplication and compression] は無効に設定されています。

vSAN では、6 つ (各ホストに 2 つずつ) のディスクが使用されており、すべてのディスクのフォーマットのバージョンが同じであることがわかります。

注: vSAN の構成が完了し、ステータス ページが読み込まれるまでに数分かかることがあります。

 

 

vSAN のディスク管理

 

1. [RegionA01-COMP01] クラスターを選択し、[Configure] - [vSAN] - [Disk Management] の順にクリックします。

各 ESXi ホストの vSAN ディスク グループが表示されます。各ホストに、キャッシュ用のフラッシュ デバイス 1 台とキャパシティ用のフラッシュ デバイス 1 台を含む 1 つのディスク グループがあります。これは、オール フラッシュ vSAN 構成です。

 

 

仮想マシンを vsanDatastore に移行

 

vSAN が有効化されたら、仮想マシンを vsanDatastore に簡単に移行できます。このセクションでは、web-01a 仮想マシンを vsanDatastore に移動します。

  1. [Home] を選択します。
  2. [Hosts and Clusters] を選択します。
  3. [RegionA01-COMP01] クラスターを展開します。
  4. [web-01a] を右クリックします。
  5. [Migrate] を選択します。

 

 

[Change storage only] を選択

 

  1. [Change storage only] を選択します。
  2. [Next] をクリックします。

 

 

vsanDatastore の選択

 

  1. [vsanDatastore] を選択します。
  2. [Next] をクリックします。
  3. [Finish] をクリックします。

Web-01a 仮想マシンが現在の iSCSI から vsanDatastore に移行し始めます。これには、数分かかる場合があります。

[Recent Tasks] でステータスを監視できます。

 

 

 

vSAN ストレージ キャパシティのチェック

 

1. [Storage] をクリックし、[vsanDatastore] を選択して、[Summary] をクリックします。

表示される容量は、クラスター内の各 ESXi ホストから取得されたキャパシティ デバイスの容量の合計です (vSAN のオーバーヘッド分少なくなります)。

キャパシティの計算では、キャッシュとして使用されるフラッシュ デバイスは考慮されません。

 

 

 

健全性とパフォーマンス

vSAN パフォーマンス サービスは、スループットや遅延など、各レベル (ホスト、クラスター、vSAN ディスク グループ、仮想マシン) でのさまざまなパフォーマンス情報を提供します。まず、パフォーマンス サービスが有効になっていることを確認します。

 

 

vSAN のパフォーマンス サービス

 

vSAN パフォーマンス サービスが有効になっていることを確認するために、[Hosts and Clusters] をクリックして [RegionA01-COMP01] を選択します。[Configure] タブ - [vSAN] - [Health and Performance] の順にクリックします。

[Health and Performance] タブで、サービスが良好な状態で実行されていることを確認できます。vSAN パフォーマンス履歴のデータベースは、vSAN オブジェクトとして保存されません。オブジェクトの可用性、使用量、パフォーマンスは、ポリシーによって制御されます。オブジェクトが使用できなくなると、クラスターのパフォーマンス履歴も使用できなくなります。

 

 

パフォーマンス情報の確認

 

vSAN クラスターのパフォーマンス データを確認してみましょう。[RegionA01-COMP01] クラスターを選択し、[Monitor] - [Performance] - [vSAN - Virtual Machine Consumption] の順にクリックします。

クラスター レベルで、IOPS、スループット、遅延などのデータを確認できます。デフォルトで過去 1 時間の情報が示されます。時間範囲は変更が可能です。たとえば、過去 3 時間のデータや、特定の日付および時間範囲のデータを表示できます。

 

 

[vSAN - Backend] への移動

 

[vSAN - Backend] トラフィックには、vSAN メタデータの更新、仮想マシンのプロビジョニング、オブジェクトの再構築などのバックエンド IO に関する情報が表示されます。[vSAN - Virtual Machine Consumption] と同様、輻輳、IOPS、スループット、および未処理 I/O 情報を確認できます。

 

 

ESXi ホスト: vSAN パフォーマンス データ

 

1. [Hosts and Clusters] に移動し、[ESX-01a.corp.local] を選択します。

2. [Monitor] - [Performance] の順にクリックします。

vSAN パフォーマンス データは、ESXi ホスト レベルでも提供されます。ディスク グループおよび個別の物理ディスクの情報も確認できます。フロントエンドの読み取りおよび書き込みの IOPS、書き込みバッファ、I/O 遅延など、複数の統計情報がグラフで示されます。

さまざまなタブを操作して、ホスト レベルでのパフォーマンス データを確認してみてください。

 

 

vSAN 健全性チェック

ネイティブの vSAN 健全性チェックは vSAN 6.1 で導入されました。統合 vSAN 健全性チェックは、多数のプロアクティブな構成および状態のチェックを実行し、環境における潜在的なリスクをユーザーに警告します。この vSAN の主要機能について見ていきましょう。

 

[Hosts and Clusters] をクリックし、[RegionA01-COMP01] クラスターを選択します。[Monitor] - [vSAN] - [Health] の順にクリックします。

健全性チェックのリストと全体のステータス (Passed、Warning、または Errors) が表示されます。各テストを展開し、それに含まれる個別のテストを表示することもできます。

 

 

vSAN の健全性チェック: Ask VMware

 

健全性チェックは、すべてのテストに [Ask VMware] リンクが用意されているという点でも、非常に便利です。Ask VMware を使い慣れていない方でも、このリンクを利用すると、テストの目的、テストが失敗する理由、および状況を修正するためにすべきことを解説している VMware ナレッジベースの記事に直接アクセスできます。テストが失敗した場合、[Ask VMware] ボタンをクリックして、関連するナレッジベースの記事をお読みください。多くの場合、解決への糸口が見つかります。解決しない場合は、VMware のサポートにお問い合わせください。

1. [Hardware compatibility Test] を展開し、[Controller is VMware Certified for ESXi Release] を選択します。

ESX がインストールされているリリースで、コントローラーをサポートするドライバがあるかどうかについての情報が表示されます。

注意: この実習ラボはインターネットに接続されていないため、VMware ナレッジベース システム (英語サイト) にはアクセスできません。

 

 

vSAN ハードウェア互換性リスト (HCL)

 

vSAN HCL の健全性 (HCL は 「ハードウェア互換性リスト」 の略) は、ストレージ コントローラー ハードウェアおよびドライバ バージョンが HCL にあり、このバージョンの vSAN をサポートしていることを検証します。コントローラーやドライバが HCL にない、またはこのバージョンの vSAN (すなわち、vSAN が実行されている ESXi バージョン) をサポートしていない場合、健全性チェックに警告が表示されます。

vSAN HCL DB が最新のものであることを検証するチェックも実行されます。つまり、有効な最新バージョンの HCL データベースに照らしてチェックが実行されるということです。

 

 

HCL データベースの更新

 

vSAN HCL データベースが最新の状態に更新されていることを確認するために、[Hosts and Cluster] - [RegionA01-COMP01] の順に選択し、さらに [Configure] - [vSAN] - [Health and Performance] の順にクリックします。

HCL は高い頻度で定期的に更新されるため、管理者はチェックに使用するローカル バージョンのデータベースを更新する必要があります。この更新はオンラインで行えます (vCenter Server が VMware.com にアクセス可能な場合)。vCenter Server がオンラインでない場合は、HCL DB ファイルをダウンロードして更新できます。HCL DB のバージョンをオンラインで更新するには、健全性チェック テストに示されているように、[Update from file] または [Get latest version online] をクリックします。

 

vROps による vSAN のインテリジェントな運用


このセクションでは、vSAN 環境の監視に使用される vRealize Operations Manager ダッシュボードについて説明します。

 

VMware では、vRealize Operations Manager (vROps) をリリースするたびに、VMware の各製品を特別な設定なしでプラットフォームに統合するための機能を強化し、お客様のシームレスな環境と短時間での価値提供の実現をサポートしています。vROps 6.6 では、ソリューションがさらに拡張され、vSAN およびその他の VMware 製品の監視と管理が統合されました。

主な新機能:


 

Chrome を開く

 

Windows のクイック起動タスク バーから Google Chrome を開きます。

 

 

admin として vRealize Operations Manager にログイン

 

  1. [Local Users] を選択します。
  2. [Username] に 「admin」 と入力します。
  3. パスワードとして 「VMware1!」 と入力します。
  4. [Log In] をクリックします。

 

 

vSAN ダッシュボードの表示

ダッシュボード画面には、組み込みのダッシュボードすべてに加え、環境に合わせて作成されたカスタム ダッシュボードも表示されます。このセクションでは、vSAN の 「組み込み」 のダッシュボードをすべて紹介します。

  1. ダッシュボード ページにアクセスするには、トップ メニューから [Dashboards] をクリックします。
  2. 左側のペインに、vSAN に関するダッシュボードが表示されます。
  3. vSAN に関するダッシュボードが見当たらない場合は、[All Dashboards] の下のリストから各ダッシュボードを選択することで有効化できます。
  4. [vSAN Operations Overview] を選択します。

 

 

ダッシュボード: vSAN Operations Overview

 

[vSAN Operations Overview] には、vSAN クラスターの健全性とパフォーマンスに関する情報が集約されています。このダッシュボードを見ると、vSAN 環境とその構成コンポーネントの全体像をつかめます。また、vSAN 環境における仮想マシンの成長トレンドも把握できます。このダッシュボードでは、大局をとらえると同時に、各 vSAN クラスターの主要な特性を確認できます。

このダッシュボードで、クラスターを選択すると、そのクラスター全体のパフォーマンス、使用率、およびキャパシティなどの詳細な情報が表示されます。vSAN 環境だけに起きた可能性のある既知の問題の傾向もつかめます。

このダッシュボードを自由に試して、収集されたデータをご覧ください。 

 

 

ダッシュボード: vSAN Capacity Overview

 

次に、vSAN Capacity Overview について説明します。

  1. ダッシュボード ページで、[All Dashboards] を選択します。
  2. [Capacity & Utilization] オプションから [vSAN Capacity Overview] を選択します。

 

 

vSAN Capacity Overview の詳細

 

  1. vSAN クラスターのリストから [vSAN Cluster (RegionA01-COMP01)] を選択します。

vSAN Capacity Overview では、特別な設定をしなくても、すべての vSAN クラスターについてキャパシティの供給と使用の状況がまとめて表示されるため、vSAN のキャパシティ管理が容易です。デデュープ (重複排除) と圧縮によるストレージの削減量を示すことで、ストレージとオール フラッシュ vSAN アレイの投資回収率 (ROI) を可視化します。キャパシティはクラスター単位で管理されることが多いため、ダッシュボードでは、各クラスターについて詳細情報を確認でき、ストレージのキャパシティ残量とそれがゼロになるまでの時間が過去の使用傾向に基づいて示されます。

このダッシュボードには、vSAN クラスター内の各ディスクのキャパシティが均等に使用されていることがデータとして示されるため、ディスクが一定した速度で読み込まれる様子がわかります。vSAN は内部で再分配アルゴリズムを実行してディスクのバランスを保ちながらパフォーマンスを最適化しますが、ディスクの使用に大きなばらつきが確認された場合、管理者が手動で再分配を開始することもできます。

注: 前のモジュールで vSAN を有効化済みであるため、vROps のデータ収集とレポート作成に時間を要しません。ここでは以前に収集したデータを示しています。

 

 

トラブルシューティングのための vSAN ダッシュボードを開く

 

  1. [All Dashboards] に移動します。
  2. [Performance Troubleshooting] を選択します。
  3. [Troubleshoot vSAN] を開きます。

 

 

[Troubleshoot vSAN] ダッシュボード

 

[Troubleshoot vSAN] ダッシュボードは、vSAN 管理者のニーズに対応するよう設計されています。vSAN 環境に潜在的な問題があることがわかった場合は、このダッシュボードで、消去法を使用して要因を分析できます。

ダッシュボードには、すべての vSAN クラスターが一覧表示され、クラスターの主要な特性の概要を説明する主なインベントリ詳細が示されます。クラスターを選択すると、すべての既知の問題、およびクラスターに関連するすべてのオブジェクトが一覧表示されます。これには、クラスター、データストア、ディスク グループ、物理ディスク、そして何より重要なことに、選択した vSAN クラスターで稼働している仮想マシンが含まれます。

ダッシュボードには、さらに詳細な使用率とパフォーマンスの主なメトリック、およびクラスターの過去 24 時間の使用率とパフォーマンスの傾向が表示されます。以前の問題に対処する場合は、簡単に過去にさかのぼることができます。

 

 

vROps からログアウト

 

 

まとめ


このモジュールでは、vSphere Web Client を使用して VMware vSAN を操作しました。vSAN を有効化するための要件、および vSphere Web Client と vROps の両方を使用して vSAN インフラストラクチャを管理および監視する方法について説明しました。


 

モジュール 3 の終了

モジュール 3 はこれで終了です。

VMware vSAN の詳細については、以下の実習ラボを参照してください。

次のうち、もっとも興味のあるモジュールに進んでください。

 

 

実習ラボの終了方法

 

実習ラボを終了するには、[終了] ボタンをクリックします。

 

モジュール 4: ネットワークの仮想化: NSX 6.2 (30 分)

はじめに


VMware NSX を有効化すれば、いかに簡単に仮想化をネットワーク環境に拡張できるかということを説明します。

このモジュールは次のレッスンで構成されています。


VMware NSX の概要


このセクションでは、VMware のネットワーク仮想化ソリューションの概要、およびその主なユースケースについて説明します。

VMware NSX® は、Software-Defined Data Center の構成要素として、完全な仮想インフラストラクチャの構成に必要です。IT 部門は、重要なアプリケーションのセキュリティや可用性を犠牲にすることなく、ビジネス ニーズに迅速に対応できます。NSX は、通常はハードウェアで処理されるネットワークとセキュリティの機能をハイパーバイザーに直接組み込むことで、仮想マシンと同じ運用モデルをネットワークとセキュリティに適用するため、IT 部門はビジネスのスピードに対応できるようになります。


 

ネットワーク ハードウェアの抽象化

多くの企業でデータセンター内のコンピューティング コンポーネントはすでに仮想化されていますが、その大半はサーバーの 50 % ~ 100 % です。また、モジュール 3 で説明したように、企業はストレージの仮想化に取り組んでおり、70 % を超える企業が Software-Defined Storage をすでに導入済みであるか、導入を予定しています。このようにハードウェアからソフトウェアに機能を抽象化することで、アプリケーションの迅速なプロビジョニングや、データセンター内またはデータセンター間での仮想システムの移動、複数のプロセスの自動化が可能です。ただし、このようなメリットのいくつかは依然として、進化の途上にあるデータセンター コンポーネントのために限定的であり、データセンター インフラストラクチャ内でまだ仮想化されていない唯一の要素であるネットワークの制約を受けています。このような従来のコンポーネントが原因で、多くの企業が Software-Defined Data Center のメリットを最大限に活用できていません。

スピードとセキュリティ、またはセキュリティと俊敏性の間で妥協を必要としない、ネットワーク インフラストラクチャに対するまったく新しいアプローチが必要です。企業がその可能性を最大限に発揮する妨げとなっていたデータセンターのルールを変更し、IT 部門が妥協することなく成果を上げることが求められています。多くの企業でも認識されているように、「ネットワークの仮想化」 が、求められている新しいアプローチです。

 

 

VMware NSX による最新の IT インフラストラクチャの構築

ネットワークを仮想化すると、ネットワークとセキュリティのサービスがデータセンターの仮想化レイヤーに移動します。これにより、アプリケーション環境全体の構築、スナップショット作成、保存、移動、削除、およびリストアを、仮想マシンの展開と同じようにシンプルかつ迅速に行うことができます。その結果、これまで不可能であった水準のセキュリティと効率性を達成することが可能です。VMware NSX は、Software-Defined Data Center に最適なネットワーク仮想化プラットフォームです。従来ネットワーク ハードウェアに組み込まれていた、スイッチング、ルーティング、ファイアウォールなどの機能をハイパーバイザーに抽象化します。これにより、NSX は 「ネットワーク ハイパーバイザー」 を作成し、データセンター全体に分散します。IT 部門は、企業の革新を推進しながら、異なる部署からの要望を同時に実現できないものとして処理するのではなく、肯定的に受け入れることができるほか、セキュリティを非常に高度に強化できるだけでなく、ビジネスのニーズに応じたスピードで対応することが可能です。アプリケーションの継続性、手動の IT プロセスの自動化、およびデータセンターの重要なセキュリティのすべてが、ビジネス部門の求める時間的制約やスケジュールに合わせて機能し、運用の複雑性や関連コストが大幅に削減されます。

 

 

セキュリティ

従来のハードウェア ベースのソリューションでは、柔軟性の低いセキュリティ構成要素を、主にデータセンターの境界に配置していたため、データセンターの内部は無防備のままでした。これに対し、NSX は仮想化されたセキュリティと分散型のファイアウォールをインフラストラクチャ内に直接統合することから、データセンターのセキュリティが強化されます。このとき、すべてのワークロードのポリシー適用ポイントが作成されます。ネットワーク トポロジー内でのワークロードの位置に関係なくワークロードとともに移動するポリシーによって、セキュリティを詳細に設定することが初めて可能になりました。脅威の変化に迅速に適応可能なセキュリティ対策と、大幅に簡素化されたセキュリティの運用モデルにより、ビジネスへのリスクを大幅に軽減できます。

 

 

 

自動化

自動化は、IT の俊敏性と一貫性に不可欠であり、全体的な運用コストを大幅に削減できます。しかし、IT 部門が依然としてハードウェアの制約を受けている状態では、企業内で相反する複数の目標を達成するための、効果的な自動化戦略を実行できません。特にネットワーク ハードウェアは、増加するスクリプトを手動で構成およびメンテナンスするという、ミスが発生しやすい作業に大きく依存するため、多くの労力を必要とするプロセスでは、ビジネス部門が、新しいビジネス チャンスに迅速に対応しようとしても、IT 部門がビジネス部門を支えきれません。NSX は、ネットワーク運用の自動化の妨げとなるこのハードウェアに依存する障壁を完全に取り払います。また、ネットワークとセキュリティのサービスをデータセンターの仮想化レイヤーに移動することで、仮想マシンと同じ自動運用モデルをネットワーク全体に確立します。NSX は、VMware vRealize Automation、OpenStack などのツールを使用して複数のプロセスを自動化することで、サービス デリバリーを大幅にスピードアップし、プロビジョニングにかかる時間を数か月から数分に短縮します。これによってビジネスにもたらされる効果は大きく、複雑な運用とコストの大幅な削減や、管理、コンプライアンス、一貫性の強化などが挙げられます。

 

 

 

アプリケーションの継続性

 

目的がディザスタ リカバリであっても、データセンター リソースのプールであっても、アプリケーションの継続性は IT 部門にとって最優先事項の 1 つです。しかし、複雑なネットワークや柔軟性の低いインフラストラクチャなどが原因で、データセンター間でワークロードを迅速に移動したり、複数の場所にデータセンター リソースをプールしたりする機能は、多くの企業にとって手が届かないものでした。ワークロードをシームレスに移動するには、ネットワークとセキュリティの構成を複数のドメイン間で一致させる必要があります。ハードウェア ベースのネットワークでは、複数のドメインにネットワークをレプリケーションするのが難しいため、ディザスタ リカバリなどの重要なタスクには依然として時間と手間がかかります。NSX を使用することで、データセンター間で仮想マシンを移動できるだけでなく、関連するネットワークとセキュリティのポリシーもすべて移動できます。仮想ネットワーク インフラストラクチャでは、IT 部門が、仮想マシン上で実行中のワークロードを、実行中のアプリケーションを中断することなく、大陸間でもわずか数分で移動できるため、アクティブ/アクティブ データセンターや迅速なディザスタ リカバリも可能です。ビジネス部門にとって、これはアプリケーションの連続稼動時間の最大化、大幅なコスト削減、クラウド規模のサービス可用性、および計画外の停止の排除を意味します。

 

VMware NSX の詳細


このセクションでは、NSX の導入がいかに簡単かを示し、vSphere Web Client を使用して NSX の管理と監視を行う方法を説明します。 

まず、NSX のシステム アーキテクチャから見ていきましょう。

 

NSX ネットワーク仮想化プラットフォームは、ハイパーバイザーの一部でありオーバーレイ ネットワークの終端ポイントである NSX vSwitch や、さまざまなコンポーネントをプログラムし、基本的には NSX Manager からの API ベースのアクセスを提供するシステム制御プレーンであるコントローラーなどのさまざまなコンポーネントで構成されています。コントローラーは、サードパーティのパートナーへの拡張機能も提供します。


 

導入の容易さ

 

 

 

Chrome を開く

 

1. Windows のクイック起動タスク バーで [Chrome] アイコンをクリックします。

 

 

vSphere Web Client の [Home] ページに移動します。

 

ログインすると、vSphere Web Client の [Home] ページが表示されます。

画鋲アイコンをクリックすると、[Recent Tasks] ペイン、[Alarms] ペイン、[Work In Progress] ペインを最小化または最大化できます。

 

 

Web Client の [Networking & Security] セクションに移動

 

ページ上部にある [Home] アイコンを選択し、[Home] を選択して、さらに [Networking & Security] を選択します。

 

 

展開されたコンポーネントを表示

1. [Installation] をクリックします。

NSX Manager がインストールされている事がわかります。NSX Manager は、すべての NSX コンポーネントを制御し、データセンター全体の統合管理プレーンとして機能すると同時に、NSX の管理 UI および API を提供します。また、仮想アプライアンスとしてインストールされ、vSphere Web Client に統合されて、Web 管理プラットフォーム内で使用されます。

NSX Manager コンポーネントは、管理 API と管理者用 UI を提供すると同時に、ホストの準備を開始する際にさまざまな VIB をホストにインストールします。VIB とは、VXLAN、分散ルーティング、分散ファイアウォール、およびユーザー ワールド エージェントです。

VMware のソリューションを利用するメリットは、カーネルへのアクセスがはるかに簡単であることです。 そこで、VMware は、カーネルに分散ファイアウォール機能と分散ルーティング機能を提供しています。これにより、従来のユーザ領域や物理的なファイアウォールネットワークアーキテクチャに不備なく、カーネル機能の処理が非常に向上します。

VXLAN 機能および分散ルーティング機能をサポートする NSX Controller ノードもあります。

 

 

ホストの準備

 

1. [Installation] ページで、[Host Preparation] を選択します。

2. [Hosts and Clusters] ページで、[RegionA01-COMP01] と [RegionA01-MGMT01] の両方のクラスターをクリックして展開します。

このページでは、分散ファイアウォール、VXLAN、分散ルーティングを含むデータ プレーン コンポーネントすべてが、すべての vSphere ホストにインストールされ、有効化されていることがわかります。

 

ユースケース: NSX 分散ファイアウォール


このセクションでは、NSX 分散ファイアウォールを導入し、NSX DFW を使用して 3 層アプリケーションを保護する手順を説明します。

先に説明したように、従来のハードウェア ベースのソリューションでは、柔軟性の低いセキュリティ構成要素を、主にデータセンターの境界に配置していたため、データセンターの内部は無防備のままでした。これに対し、NSX は仮想化されたセキュリティと分散型のファイアウォールをインフラストラクチャ内に直接統合することから、データセンターのセキュリティが強化されます。 

この機能は、NSX 分散ファイアウォール (DFW) と呼ばれます。 DFWは、仮想化されたワークロードとネットワークの視認性と管理性を提供するハイパーバイザー カーネルに組み込まれたファイアウォールです。データセンター、クラスター、仮想マシン名などの VMware vCenter オブジェクト、IP や IP セット、DVS ポート グループの VLAN、論理スイッチの VXLAN などのネットワーク構成要素、ならびにセキュリティ グループ、Active Directory からのユーザー グループ ID などに基づいてアクセス制御ポリシーを作成できます。各仮想マシンの 仮想 NIC 単位でファイアウォール ルールが適用されるため、仮想マシンを vMotion で移行してもアクセス制御の一貫性が維持されます。このファイアウォールはハイパーバイザーに組み込まれているため、ライン レートに近いスループットが実現し、物理サーバー上のワークロードの統合率が向上します。ファイアウォールの分散性により、新たなホストをデータセンターに追加した場合に、ファイアウォールのキャパシティを自動的に拡張するスケール アウト アーキテクチャが提供されます。

マイクロ セグメンテーションは NSX の分散ファイアウォール (DFW) コンポーネントによって稼動しています。DFW は ESXi ハイパーバイザーのカーネル レイヤーで動作し、通信速度に近い速度でパケットを処理します。各仮想マシンは専用のファイアウォール ルールとコンテキストを持ちます。DFW では vMotion (つまりは完全なワークロードのモビリティ) がサポートされ、移行中でも正常な接続が維持されます。この高度なセキュリティ機能では、関連する仮想マシンのグループを、個別の論理ネットワーク セグメントに分離することにより、データセンターのネットワークをよりセキュアにします。これにより管理者は、あるデータセンター セグメントから別のセグメントに伝送されるトラフィック (East-West トラフィック) にファイアウォールを適用できます。このようにしてデータセンター内部における攻撃者の水平方向の移動を制限できます。


 

NSX による 3 層 Web アプリケーションの保護

 

次に、シンプルな 3 層 Web アプリケーションを使用し、NSX DFW を活用して異なる仮想マシン間の通信を制御する方法について説明します。3 台の仮想マシンは、すべて同一の 「本番」 VLAN で稼動しているため、次の通信を許可する必要があります。

 

 

 

3 層アプリケーションのテスト

 

 

Google Chrome の同じセッションで [vSphere Web Client] を開く

 

同じ Chrome ブラウザーを使用して新しいタブを開き、vCenter にログインします。

ユーザー名 「administrator@vsphere.local」 とパスワード 「VMware1!」 を入力してログインします。

 

 

PuTTY を使って 3 層仮想マシン間の通信をテスト

 

デスクトップのタスクバーにある PuTTY のショートカットをクリックします。

 

 

web-01a からほかのメンバーへ ping を送信

 

まず、次のように入力して、web-01a から app-01a に ping を送ります。

ping -c 2 app-01a

web-01a db-01a の間の接続性をテストします。

ping -c 2 db-01a

(注: ping 出力の行末に 「DUP」 と表示されることがあります。これは、この仮想実習ラボ環境では、ネストした仮想化環境を使用していることと、仮想ルーターでプロミスキャス モードを使用していることによります。これは本番環境では発生しません)。

このウィンドウはまだ閉じずに、後で使用するために最小化しておきます。

 

 

デフォルトのファイアウォール ポリシーを 「許可」 から 「ブロック」 へ変更

このセクションでは、デフォルトで許可に設定されているルールをブロックに変更し、3 層アプリケーションへの通信ができなくなることを確認します。その後、新しいルールを作成して、安全な方法による通信を復元します。

  • Google Chrome ブラウザーで、[vSphere Web Client] のブラウザー タブを選択します。
  • 左側の [Firewall] を選択します。
  • [General] セクションの [Default Section Layer3] で、左側の展開ドロップダウンを選択します。

 

 

 

デフォルトのルールを確認

 

  1. ドロップダウンの矢印をクリックして、このセクションを展開します。 

ルールに緑色のチェックマークが付いています。これはルールが有効であることを意味します。ルールは、送信元 ([Source])、送信先 ([Destination])、サービス ([Service]) のフィールドを用いる標準的な方法で作成します。サービスは、プロトコルとポートの組み合わせです。

最後のデフォルト ルール ([Default Rule]) は any-to-any を許可する基本的なルールです。

 

 

最後のデフォルト ルールの詳細

 

右にスクロールすると、デフォルト ルールに対するアクションを確認できます。[Action] が [Allow] と表示されているフィールドにカーソルを置くと、鉛筆アイコンが表示され、このフィールドに対する選択肢を確認できます。

  • 鉛筆アイコンをクリックします。

 

 

最後のデフォルト ルールのアクションを 「許可」 から 「ブロック」 へ変更

 

  1. [Action] で [Block] を選択します。
  2. [Save] をクリックします。 

 

 

デフォルト ルールの変更を発行

 

[Publish Changes]、[Revert Changes]、[Save Changes] のいずれかを選択する緑色のバーが表示されます。[Publish Changes] は、変更を分散ファイアウォール (DFW) に転送します。[Revert Changes] は、変更をキャンセルします。[Save Changes] は、変更を保存します。保存した変更は後で発行できます。

  • [Publish Change] を選択して、ブロックのルールを反映させます。

 

 

ルール変更により通信がブロックされることを確認

 

以前に開いた PuTTY とブラウザーのセッションを使って、ブロックのルールをテストします。

  • Putty: その後、デフォルト ルールによって SSH を含めてすべてがブロックされているため、PuTTY はアクティブでなくなっていることがわかります。再度コンソールを最小化します。

 

 

ルールにより HTTPS がブロックされることを Web ブラウザーで確認

 

  1. 3 層 アプリケーションのブラウザー タブに移動します。誤ってタブを閉じてしまった場合は、Chrome Web ブラウザーを開き、[3-tier-app] ブックマークをクリックして 3 層 アプリケーションにアクセスします。
  2. このサイトにアクセスできないことを示すエラーが表示されます。NSX で作成されたファイアウォール ルールがあるため、これは通常の動作です。

 

 

3 層アプリケーションのためのアクセス ルールを NSX DFW を用いて作成

[vSphere Web Client] タブに移動して、vSphere Web Client にまだ接続していることを確認します。接続していない場合は、再度 Google Chrome を開いて vSphere Web Client にログインします。

 

vSphere Web Client から [Networking & Security] ページを開き、[Firewall] - [Configuration] の順にクリックします。

 

 

新しいファイアウォール セクションを作成

 

  1. [Default Section Layer3 (Rule 1 - 3)] の行の右端にあるフォルダーのような形の [Add Section] アイコンをクリックします。

 

 

3 層アプリケーションのための新しいルール セクションを追加

 

  1. セクション名に 「3-tier App」 と入力します。
  2. [Add section above] を選択します。
  3. [Save] をクリックします。

 

 

新しいセクションにルールを追加

 

  1. 新しい [3-tier App] セクションの行で、緑色のプラス記号の [Add rule] アイコンをクリックします。

 

 

新しいルール名を編集

 

  1. ドロップダウンの矢印をクリックしてルールを開きます。
  2. [Name] フィールドの右上にカーソルを合わせ、表示される鉛筆アイコンをクリックします。

 

 

新しいルール名を編集 (続き)

 

  1. 名前に 「Ext to Web」 と入力します。
  2. [Save] をクリックします。

 

 

送信元および送信先のルールを設定

 

送信元の設定: 送信元のルールは [any] のままにします。

  1. [Destination] フィールド内にカーソルを合わせ、鉛筆アイコンをクリックします。

 

 

セキュリティ グループの値を設定

 

送信先:

  1. [Object Type] のプルダウンをスクロールして [Virtual Machine] を選択します。
  2. [web-01a] をリックします。
  3. 右向きの矢印をクリックして、このオブジェクトを右側に追加します。
  4. [OK] をクリックします。

 

 

サービスの編集

 

  1. [Service] フィールドにカーソルを合わせ、鉛筆アイコンをクリックします。

 

 

サービスのルールを設定

 

検索フィールドでサービスを検索できます。 

  1. 「https」 と入力して <Enter> キーを押します。名前に 「https」 を含むすべてのサービスが表示されます。
  2. [HTTPS] サービスを選択します。
  3. 右向きの矢印をクリックします。
  4. 注: 表示されている手順 1 ~ 3 を繰り返して [SSH] サービスを検索し、追加します (SSH を必要とする別のモジュールで確認します)。
  5. [OK] をクリックします。

注: 変更を発行するか、キャンセルするかを選択する緑色のバーが表示されます。

さらにルールを追加するため、ここでは発行しないでください。

 

 

Web-01a に App-01a との通信を許可するルールを作成

 

2 つ目として、Web-01a 仮想マシンに App-01a との通信を許可するルールを追加します。意図的に、この Web アプリケーションがアプリケーション サーバーのみと通信し、データベース サーバーとは通信できないようにします。

  1. 鉛筆アイコンをクリックします。
  2. このルールは以前のルールの下位で処理するため、ドロップダウン ボックスで [Add Below] を選択します。

 

 

2 つ目のルールに名前を付けて、送信元フィールドを設定

  1. [Name] フィールドにカーソルを合わせ、プラス記号をクリックします。名前として 「Web to App」 と入力します。
  2. [Source] フィールドでは [Virtual Machine] の [web-01a] を選択します。

 

 

2 つ目のルールの送信先を作成

 

  1. [Destination] フィールドにカーソルを合わせます。
  2. 鉛筆アイコンをクリックして編集します。

 

 

2 つ目のルールの送信先フィールドを設定: App-01a 仮想マシンを選択

 

  1. [Object Type] のプルダウンをスクロールして [Virtual Machine] を選択します。
  2. [app-01a] を選択します。
  3. 右向きの矢印をクリックして、このオブジェクトを右側に追加します。
  4. [OK] をクリックします。

 

 

2 つ目のルールのサービスを設定

 

  1. [Service] フィールド内にカーソルを合わせ、鉛筆アイコンをクリックします。

 

 

2 つ目のルールのサービスを設定: 新しいサービス

 

この 3 層アプリケーションでは、Web 層とアプリケーション層の間で TCP ポート 8443 を使用します。新しいサービス [MyApp] を作成し、通信を許可します。

  1. [New Service] をクリックします。
  2. 新しいサービス名 「MyApp」 を入力します。
  3. [Protocol] で [TCP] を選択します。
  4. ポート番号 「8443」 を入力します。
  5. メインの [Specify Service] ページで [OK] をクリックし、再度 [OK] をクリックします。

 

 

3 つ目のルールを作成: App-01a に Db-01a との通信を許可

最後に同様の手順で、前回のルールの下に、App-01a と Db-01a の間のアクセスを許可する 3 つ目のルールを作成します。

  1. アプリケーション仮想マシン [app-01a] が HTTP (定義済みサービス) を介してデータベース仮想マシン  [db-01a]  と通信できるようにするルール [App to DB] を作成します。HTTP サービスはあらかじめ定義されているため、サービスを作成せずに検索するだけです。
  2. [Publish Changes] をクリックします。

 

 

3 層アプリケーションの通信を許可する新しいルールを確認

 

  1. 3 層アプリケーションのタブに戻ります。
  2. ブラウザーのページを更新して、3 層アプリケーションからデータを受け取っていることを確認します。

新しい [3-tier App] セクションで、アプリケーションにアクセスできます。

 

 

web-01a への PuTTY セッションを開いて、仮想マシン間の通信をテスト

 

以前の PuTTY セッションを閉じた場合は、Windows のクイック起動タスク バーからセッションを再度開きます。

  1. [web-01a.corp.local] 仮想マシンを選択します。
  2. [Load] をクリックします。
  3. [Open] をクリックします。

 

 

仮想マシン間の Ping テスト

3 層アプリケーションのゲスト仮想マシンに Ping を送信します。

ping -c 2 app-01a

ping -c 2 db-01a

設定したルールでは各層間または各層のメンバー間で ICMP が許可されていないため、Ping は許可されず、失敗します。各層間で ICMP を許可しないと、ほかのすべてのトラフィックがデフォルトのルールによってブロックされます。アプリケーションが正しく動作するには、許可されるトラフィックのみが必要です。

 

 

ログアウト

PuTTY を終了して、画面右上で [Administrator@CORP.LOCAL] ドロップダウンを選択し、[Logout] をクリックしてください。

 

ブラウザーを閉じます。

 

vROps による NSX のインテリジェントな運用


このセクションでは、NSX 環境の監視に使用される vRealize Operations Manager ダッシュボードについて説明します。

vROps を使用すると、NSX 環境にインテリジェントな運用機能を追加し、分析、関連付け、キャパシティ管理、および視覚化の各機能を仮想ネットワークにまで拡張できます。NSX の論理スイッチ、論理ルーター、Edge サービス、分散ファイアウォール、およびロード バランサーの確実な構成、健全性、パフォーマンス、キャパシティ、トラブルシューティングが対象に含まれます。VMware NSX 運用チームは即座に、構成の問題の検出、接続の問題のトラブルシューティング、vSphere 環境の健全性の低下による影響の確認、多数の NSX オブジェクトの状態把握による高度なトラブルシューティングなどを実行できるようになります。

主な新機能:

  • NSX for vSphere とネットワーク デバイス管理パックの統合により、仮想/物理ネットワークを包括的に可視化。トポロジー ウィジェットを組み合わせることで、仮想ネットワークおよび物理ネットワークの関係を End-to-End で可視化できます。
  • vSphere クラスターに導入されているすべての NSX for vSphere の検出と依存関係マッピングをすぐに利用可能。運用管理者は、複数のクラスター全体にビューを展開できます。
  • オブジェクト検索で NSX オブジェクトをすばやく絞り込み、運用状況に加え、健全性、パフォーマンス、キャパシティのスコアを表示。

 

vRealize Operations Manager にログイン

 

 

NSX ダッシュボードの表示

 

ダッシュボード画面には、組み込みのダッシュボードすべてに加え、環境に合わせて作成されたカスタム ダッシュボードも表示されます。この実習ラボでは、NSX の 「組み込み」 のダッシュボードをすべて紹介します。

  1. ダッシュボード ページにアクセスするには、トップ メニューから [Dashboards] をクリックします。
  2. 左側のペインに、NSX のすべてのダッシュボードが一覧表示されます。
  3. NSX ダッシュボードが見当たらない場合は、[All Dashboards] の下のリストから各ダッシュボードを選択することで有効化できます。
  4. 次の手順に進むために、[NSX-vSphere Main] を選択します。

 

 

ダッシュボード: NSX-vSphere Main

 

1. [NSX-vSphere Environments] で [nsxmgr-01a] を選択します。

ネットワーク オブジェクトの健全性に関する概要 (ネットワーク トラフィック情報および NSX 関連のオープン アラート) が表示されます。NSX Manager とコントローラーの全体的な健全性や、NSX に登録されている各トランスポート ノードのヒート マップといった主要コンポーネントを監視できます。トラフィックと仮想マシンによる使用率の高い論理ネットワークも確認できます。

次に進む前に、ダッシュボードを操作してみてください。

 

 

 

[NSX-vSphere Topology] ダッシュボードを開く

 

1. [All Dashboards] ドロップダウン メニューを選択します。

2. [NSX-vSphere] に移動します。

3. [NSX-vSphere Topology] を開きます。

 

 

[NSX-vSphere Topology] ダッシュボードの機能を確認

[NSX-vSphere Topology] ダッシュボードには、選択したオブジェクトのトポロジーについての詳細や、ネットワークでの論理要素との接続状況、関連するアラートやメトリックに関するビューが表示されます。メニュー バーから直接 [NSX-vSphere Topology] ダッシュボードにアクセスした場合、[Logical Topology] ウィジェットおよび [Physical Topology] ウィジェットにはデータが表示されません。これらのウィジェットにデータを表示させるには、右上にある [Objects] ウィジェットで、詳細を表示するオブジェクトをクリックします。ウィジェットの右側にある検索ボックスでオブジェクトを検索することもできます。

このダッシュボードの機能を確認し、時間があれば、[NSX-vSphere Object Path] ダッシュボードと [NSX-vSphere Troubleshooting] ダッシュボードも操作してみてください。

 

 

vROps からログアウト

 

vROps からログアウトしてください。

 

まとめ


このモジュールでは、VMware NSX を詳しく見てみました。NSX を有効化するための要件のほか、vSphere Web Client を使用して NSX を管理する方法、NSX DFW を使用してセキュリティ ファイアウォールを導入する方法を説明し、vROps を使用して NSX 環境を監視する方法についても取り上げました。


 

モジュール 4 の終了

モジュール 4 はこれで終了です。お疲れ様でした。

VMware NSX の詳細については、以下の実習ラボを参照してください。

  • HOL-1803-SDC-1: VMware NSX: 概要と機能
  • HOL-1803-USE-2: VMware NSX: 分散ファイアウォールとマイクロ セグメンテーションの併用
  • HOL-1803-USE-3: VMware NSX: 運用管理と可視化

次のうち、もっとも興味のあるモジュールに進んでください。

 

 

実習ラボの終了方法

 

実習ラボを終了するには、[終了] ボタンをクリックします。

 

Conclusion

Thank you for participating in the VMware Hands-on Labs. Be sure to visit http://hol.vmware.com/ to continue your lab experience online.

Lab SKU: ManualExport-HOL-1845-01-SLN.zip

Version: 20171028-082401