vmware cloud on aws データセンターの管理 - vmware cloud on aws · vmware cloud on aws...
TRANSCRIPT
VMware Cloud on AWS データセンターの管理
2019 年 10 月 4 日VMware Cloud on AWS
最新の技術ドキュメントは、 VMware の Web サイト (https://docs.vmware.com/jp/) でご確認いただけます。 このドキュメ
ントに関するご意見およびご感想は、[email protected] までお送りください。
VMware, Inc.3401 Hillview Ave.Palo Alto, CA 94304www.vmware.com
ヴイエムウェア株式会社
105-0013 東京都港区浜松町 1-30-5浜松町スクエア 13Fwww.vmware.com/jp
Copyright ©
2017-2019 VMware, Inc. All rights reserved. 著作権および商標情報。
VMware Cloud on AWS データセンターの管理
VMware, Inc. 2
目次
VMware Cloud on AWS データセンターの管理について 6
1 VMware Cloud on AWS 内の vSphere 8vSphere コンポーネントとインターフェイス 8
vSphere が管理するインベントリ オブジェクト 10
VMware Cloud on AWS に関する情報の検索 12
2 ハイブリッド リンク モードの設定 13ハイブリッド リンク モードの前提条件 14
vCenter Cloud Gateway Appliance を使用したハイブリッド リンク モードの設定 17
グラフィカル インストーラを使用した vCenter Cloud Gateway Appliance のインストール 18
vCenter Cloud Gateway Appliance インストーラから vCenter Cloud Gateway Appliance をクラウド
SDDC にリンクする 21
コマンドライン インストーラを使用して vCenter Cloud Gateway Appliance をインストールする 22
Gateway Client ユーザー インターフェイスから vCenter Cloud Gateway Appliance をクラウド SDDC にリ
ンクする 23
vSphere クラウド ゲートウェイ アプライアンスの証明書の置き換え 24
Cloud Gateway Appliance のバックアップ 25
クラウドの SDDC からのハイブリッド リンク モードの設定 25
ハイブリッド リンク モードのネットワーク接続の検証 25
SDDC LDAP ドメインへの ID ソースの追加 31
オンプレミス データセンターへのリンク 33
クラウド SDDC のリンク解除 33
3 VMware Cloud on AWS の vCenter Server 35他のログイン ユーザーへのメッセージの送信 35
vCenter Server の一般的な設定の確認 36
イベント、アラーム、最近のタスクの表示 36
4 vCenter Single Sign-On による vSphere 認証 38vCenter Single Sign-On によって環境を保護する方法 38
vSphere での vCenter Single Sign-On の使用 40
vCenter Single Sign-On による vCenter Server の ID ソース 41
SDDC LDAP ドメインへの ID ソースの追加 42
vCenter Single Sign-On ポリシーの管理 44
vCenter Single Sign-On のパスワード ポリシーの編集 44
vCenter Single Sign-On のロックアウト ポリシーの編集 44
vCenter Single Sign-On のトークン ポリシーの編集 45
VMware, Inc. 3
5 vCenter Server システムのセキュリティ 47セキュリティのベスト プラクティスおよびリソース 47
vSphere 環境のパスワード 48
vCenter Server アクセス コントロールのベスト プラクティス 50
vCenter のパスワード要件とロックアウト動作 50
6 vSphere のアクセス許可とユーザー管理タスク 52vSphere での承認について 53
アクセス許可と権限の表示 55
vCenter コンポーネントの権限の管理 56
インベントリ オブジェクトへの権限の追加 56
権限の変更または削除 57
ユーザー検証設定の変更 57
グローバル権限 58
vCenter Server システム ロール 59
ロールと権限のベスト プラクティス 60
CloudAdmin 権限 61
7 クラスタおよびリソース プール 62事前定義されたクラスタおよびリソース プール 63
クラスタ内の仮想マシンとホストの確認 63
vSphere DRS の確認とモニタリング 64
vSphere HA の確認とモニタリング 65
クラスタ構成の確認 66
子リソース プールの作成および管理 66
8 VMware Cloud on AWS の vSAN ストレージ 70ストレージ容量とデータ冗長性 71
vSAN の重複排除および圧縮 71
VMware Cloud on AWS での vSAN 暗号化 72
VMware Cloud on AWS での新しい暗号化キーの生成 73
vSAN のポリシー 73
vSAN のデフォルト ストレージ ポリシーについて 77
vSAN データストアへのデフォルト ストレージ ポリシーの割り当て 78
vSAN の仮想マシン ストレージ ポリシーの定義 79
仮想マシンへのストレージ ポリシーの割り当て 80
9 VMware Cloud on AWS のワークロード ネットワーク 81コンピューティング ネットワーク セグメントの作成 81
コンピューティング ネットワーク セグメントへの仮想マシンの接続またはワークロード仮想マシンの分離 82
VMware Cloud on AWS データセンターの管理
VMware, Inc. 4
10 vSphere のタグおよび属性 83タグ カテゴリの作成、編集、または削除 84
タグの作成、編集、または削除 85
タグの割り当てまたは削除 86
タグ オブジェクトに対する権限 86
カスタム属性の追加と編集 87
VMware Cloud on AWS データセンターの管理
VMware, Inc. 5
VMware Cloud on AWS データセンターの管理について
VMware Cloud on AWS データセンターの管理ドキュメントでは、VMware Cloud on AWS データセンターのコン
ポーネントを設定、調査、および構成する方法について説明します。このドキュメントには、ハイブリッド リンク モードの設定に関する詳細が記載されています。
まず VMware Cloud on AWS 環境のネットワーク設定などの初期構成を行います。その後、リソース プールおよび
フォルダを作成し、vCenter Single Sign-On ID ソースを追加してから、オンプレミス環境からいつもの操作を行う
ことができます。また、ハイブリッド リンク モードを使用して、オンプレミス データセンターと VMware Cloud on AWS データセンターをまとめて表示および管理することもできます。
表 1-1. VMware Cloud on AWS データセンターの管理
トピック 概要
VMware Cloud on AWS 内の vSphere コンポーネントとインターフェイスの概要と、詳細情報の入手方法につい
て説明します。
ハイブリッド リンク モード オンプレミス vCenter Server インスタンスと VMware Cloud on AWS インスタンスをリンクする方法について説明します。
vCenter Single Sign-On による vSphere 認証 n vCenter Single Sign-On の仕組みについて説明します。
n ローカルの Active Directory ドメインを vCenter Server の ID ソースとして使用する場合について説明します。
権限とユーザー管理タスク n vCenter Server 権限モデルの概要
n 権限の管理
n VMware Cloud on AWS の権限のリファレンス
クラスタおよびリソース プール VMware Cloud on AWS データセンター内のクラスタとリソース プール、およびリソース プールのカスタマイズ オプションについて説明
します。
VMware Cloud on AWS のストレージ VMware Cloud on AWS で使用可能な vSAN ストレージと、管理方法
について説明します。
VMware Cloud on AWS の論理ネットワーク ネットワークの詳細と、コンソールからネットワークを設定する手順につ
いて説明します。
vSphere のタグおよび属性 VMware Cloud on AWS データセンター内の検索と管理が容易になる
タグの使用方法について説明します。
VMware, Inc. 6
対象読者
本書は、Software-Defined Data Center (SDDC) の作成、構成、管理に VMware Cloud on AWS を使用するユー
ザーを対象としています。ここに記載の情報は、オンプレミス環境での vSphere の構成および管理に関する基礎知
識を持ち、仮想化の概念に精通している管理者を想定しています。Amazon Web Services について熟知している必
要はありません。
VMware Cloud on AWS データセンターの管理
VMware, Inc. 7
VMware Cloud on AWS 内の vSphere 1VMware vSphere® は、仮想化の機能を活用してデータセンターをシンプルなクラウド コンピューティング インフ
ラストラクチャに変換し、IT 部門が柔軟で信頼性の高い IT サービスを提供できるようにします。
vSphere の 2 つの主要なコンポーネントは、VMware ESXi™ と VMware vCenter Server® です。ESXi はハイパー
バイザーです。仮想マシンは、vCenter Server によって管理される ESXi ホストのクラスタ上で実行されます。
VMware Cloud on AWS では、VMware が管理 ESXi ホストおよび vCenter Server の大部分を管理します。
オンプレミス vSphere 環境では、お客様が SDDC インフラストラクチャの管理タスクの多くを行う必要があります。
一方、VMware Cloud on AWS では、仮想マシン、仮想マシン テンプレート、OVF テンプレートの作成、構成、管
理に注力できます。VMware Cloud on AWS では、リソース管理、認証と承認、その他の機能がバックグラウンド
で実行されます。
この章には、次のトピックが含まれています。
n vSphere コンポーネントとインターフェイス
n vSphere が管理するインベントリ オブジェクト
n VMware Cloud on AWS に関する情報の検索
vSphere コンポーネントとインターフェイス
VMware vSphere は、仮想化用ソフトウェア コンポーネント スイートです。これには、ESXi、vCenter Server、お
よび vSphere 環境でのさまざまな機能を実現するその他のソフトウェア コンポーネントが含まれます。VMware Cloud on AWS SDDC の多くの部分は VMware が管理しますが、お客様がすべてのコンポーネントを確認し、構成
の特定の部分を変更することもできます。
vSphere のコンポーネント
VMware vSphere には、次のソフトウェア コンポーネントが含まれています。
ESXi 構成ファイルとディスク ファイルのセットとして仮想マシンを実行するハイパー
バイザー。それらのファイルにより、物理マシンの全機能が実行されます。
vCenter Server VMware ESXi ホストを統合管理するサービス。
vCenter Server はバックグラウンドで継続的に実行されます。クライアントが接
続されていない場合でも、監視と管理のアクティビティを実行します。
VMware, Inc. 8
VMware Cloud on AWS には、ハイブリッド リンク モードを使用してオンプレミ
ス vCenter Server に接続できる単一の vCenter Server が含まれます。
vCenter Single Sign-On vCenter Server 管理インフラストラクチャの一部となるサービス。vCenter Single Sign-On の認証サービスでは、Active Directory などのディレクトリ サー
ビスを使用して各コンポーネントがユーザーを個別に認証するのではなく、安全な
トークン交換メカニズムを介してさまざまな vSphere ソフトウェア コンポーネン
トが互いに通信できるようになるため、VMware クラウド インフラストラクチャ
プラットフォームの安全性が高まります。
vSphere のインターフェイス
使用する vSphere インターフェイスは、実行するタスクと管理するコンポーネントによって異なります。
vSphere Client vSphere Client は、VMware Cloud on AWS を管理するための HTML5 ベースの
クライアントです。vSphere Client は、オンプレミス vSphere SDDC のほとんど
の構成タスクも実行します。
vSphere コマンドライン インターフェイス
vSphere は、仮想マシンやその他の vSphere コンポーネントを構成するための複
数のコマンドライン インターフェイスをサポートしています。
vSphere SDK vSphere は、vSphere 環境内のさまざまな要素を管理するための複数の SDK をサ
ポートしています。
仮想マシン コンソール 物理マシンと同様、各仮想マシンにも、オペレーティング システムに応じて特定の
管理タスクをサポートするコンソールがあります。
vCenter Server 機能
vCenter Server の旧バージョンで特別なライセンスを必要としていた機能の多くは、vSphere 6.x の vSphere Standard ライセンスで利用することが可能で、VMware Cloud on AWS でもサポートされています。
vCenter Server の主な機能は次のとおりです。
vSphere vMotion サービスを中断せずに、実行中の仮想マシンをある ESXi ホストから別の ESXi ホス
トに移動できます。vSphere HA で、ホストが利用不可能な場合は、vSphere vMotion を使用して仮想マシンを移行します。
Storage vMotion サービスを中断せずに、実行中の仮想マシンのディスクおよび構成ファイルをデー
タストア間で移動できます。
vSphere High Availability vSphere High Availability は、SDDC クラスタ内のホストで障害が発生したとき、
そのホスト上のすべての仮想マシンが同じクラスタ内の別のホスト上で再起動され
るようにするものです。vSphere High Availability の設定は VMware Cloud on AWS で事前設定され、お客様が設定し直すことはできません。
vSphere DRS すべてのホストおよびリソース プールにわたるリソース割り当ておよび消費電力
を改善できます。vSphere DRS はクラスタ内のすべてのホストおよび仮想マシン
VMware Cloud on AWS データセンターの管理
VMware, Inc. 9
のリソース使用状況に関する情報を収集し、次のいずれかの場合に仮想マシンを移
行します。
n 初期配置:クラスタ内ではじめて仮想マシンをパワーオンした場合、DRS は仮
想マシンを配置するか、推奨を表示します。
n ロード バランシング:DRS は、仮想マシンを自動的に移行 (vMotion) するか、
仮想マシンの移行を推奨して、クラスタ全体におけるリソース使用率を高めま
す。
SDDC での DRS 操作を制御するストレージ ポリシーの詳細については、ポリシー
およびプロファイルの使用を参照してください。
vSphere が管理するインベントリ オブジェクト
vSphere でのインベントリとは、権限の割り当て、タスクおよびイベントの監視、およびアラームの設定を行うこと
ができる仮想および物理オブジェクトの集合体です。フォルダを使用してほとんどのインベントリ オブジェクトを
グループ化することにより、管理を簡素化できます。
ホストを除くすべてのインベントリ オブジェクトは、その役割を表す名前に変更できます。たとえば、企業の部門、
場所、または機能に関連する名前を付けることができます。
注: 管理対象オブジェクトの名前は 214 バイト以下にしてください(UTF-8 エンコード)。
vCenter Server は次のインベントリ オブジェクトを監視および管理します。
データセンター 特定のオブジェクト タイプを体系化するフォルダとは異なり、データセンターは仮
想インフラストラクチャで機能するために使用されるあらゆる種類のオブジェクト
の集まりです。
各データセンター内には、4 つの異なる階層があります。
n 仮想マシン (およびテンプレート)
n ホスト (およびクラスタ)
n ネットワーク
n データストア
各 VMware Cloud on AWS SDDC には、SDDC-Datacenter という名前の単一の
データセンターがあります。データセンターは、ネットワークおよびデータストア
のネームスペースを定義します。これらのオブジェクトの名前は、データセンター
内で一意である必要があります。単一のデータセンター内に名前が同一のデータス
トアを 2 つ配置することはできません。仮想マシン、テンプレート、およびクラス
タは、データセンター内で一意にする必要がありませんが、各フォルダ内では一意
にする必要があります。
クラスタ 1 つのユニットとして連携する、ESXi ホストとそれに関連する仮想マシンの集合
体。クラスタにホストを追加すると、ホストのリソースはクラスタのリソースの一
VMware Cloud on AWS データセンターの管理
VMware, Inc. 10
部になります。vCenter Server はクラスタ内のすべてのホストのリソースを 1 つのユニットとして管理します。
データストア データセンター内の物理ストレージ リソースを仮想化したもの。データストアは、
仮想マシン ファイル用のストレージの場所です。オンプレミス Software-Defined Data Center (SDDC) では、これらの物理ストレージ リソースは、ESXi ホストのロ
ーカル SCSI ディスク、ファイバ チャネル SAN ディスク アレイ、iSCSI SAN ディ
スク アレイ、またはネットワーク接続ストレージ (NAS) アレイから取得できます。
オンプレミス SDDC とクラウド SDDC の両方で、vSAN データストアは基盤となる
物理ストレージの性質に左右されることなく、仮想マシンに必要なさまざまなスト
レージ リソースに一貫したモデルを提供します。
フォルダ フォルダを使用すると、同じタイプのオブジェクトをグループ化できるため、管理
が容易になります。たとえば、フォルダを使用して、複数のオブジェクトにわたる
権限を設定したり、複数のオブジェクトにわたるアラームを設定したり、有意義な
方法でオブジェクトを整理したりすることができます。
フォルダには、別のフォルダ、またはデータセンター、クラスタ、データストア、
ネットワーク、仮想マシン、テンプレート、またはホストなどの同じタイプのオブ
ジェクトのグループを含むことができます。たとえば、1 つのフォルダには、複数
のホストと、複数のホストを含む 1 つのフォルダを配置できますが、複数のホスト
と、複数の仮想マシンを含む 1 つのフォルダを配置することはできません。
ホスト ESXi がインストールされている物理コンピュータ。すべての仮想マシンはホスト
上またはクラスタ上で実行されます。
ネットワーク 仮想マシン同士または仮想データセンター外部の物理ネットワークを接続する仮想
ネットワーク インターフェイス カード(仮想 NIC)、Distributed Switch または
vSphere Distributed Switches、およびポート グループまたは分散ポート グルー
プのセット。 同じポート グループに接続されるすべての仮想マシンは、仮想環境内
の同じネットワークに属します。 ポート グループおよび分散ポート グループ上で
は、ネットワークの監視と権限およびアラームの設定が可能です。
リソース プール リソース プールは、ホストまたはクラスタの CPU リソースとメモリ リソースを区
分するために使用されます。仮想マシンはリソース プール内で実行され、リソース
プールのリソースを使用します。スタンドアローン ホストまたはクラスタの直接
の子として複数のリソース プールを作成したあと、各リソース プールの制御を他の
個人または組織に委譲できます。
vCenter Server DRS には、リソースのステータスの監視や、リソースを使用した
仮想マシンの調整または調整の推奨を行うさまざまなオプションが表示されます。
リソースを監視し、アラームを設定できます。
テンプレート テンプレートは、新しい仮想マシンの作成とプロビジョニングに使用可能な、仮想
マシンのマスター コピーです。テンプレートには、ゲスト OS およびアプリケーシ
ョン ソフトウェアをインストールしておくことができます。また、新規の仮想マシ
ンに一意の名前が付けられ、ネットワーク設定が施されるように、展開時にテンプ
レートをカスタマイズできます。
VMware Cloud on AWS データセンターの管理
VMware, Inc. 11
仮想マシン ゲスト OS および関連アプリケーション ソフトウェアを実行できる仮想化されたコ
ンピュータ環境。同一の管理対象ホスト マシンで、同時に複数の仮想マシンを操作
できます。
vApp vSphere vApp は、アプリケーションをパッケージ化して管理するフォーマットで
す。vApp には複数の仮想マシンを含めることができます。
VMware Cloud on AWS に関する情報の検索
VMware Cloud on AWS の製品内ヘルプでは、よくある質問の回答を検索できます。または、VMware Cloud on AWS や vSphere に関するドキュメントを検索してください。
注: vSphere の各種ドキュメントの一部の情報は、VMware Cloud on AWS には当てはまりません。DRS や HA の設定など、データセンター関連のさまざまなタスクは、VMware が管理します。
以下のドキュメントには、VMware Cloud on AWS に固有の情報が記載されています。
n 『VMware Cloud on AWS スタート ガイド』には、VMware Cloud on AWS の仕組みと、コンソールでネット
ワーク設定を行う方法、その他の新規導入時のタスク情報がまとめられています。
n 『VMware Cloud on AWS での仮想マシンの管理』では、仮想マシンと仮想マシン テンプレートを作成、クロー
ン作成する手順を詳細に解説しています。ゲスト OS のインストール方法とカスタマイズ方法、コンテンツ ライ
ブラリの設定方法も記載されています。
n 『VMware Cloud on AWS データセンターの管理』では、VMware Cloud on AWS データセンターのコンポー
ネントを設定、調査、構成する方法を説明しています。このドキュメントには、ハイブリッド リンク モードの
設定に関する詳細が記載されています。
ドキュメントの表示方法は次のとおりです。
n docs.vmware.com に移動します。
n 検索とフィルタを使用して、必要な情報を見つけます。
VMware Cloud on AWS のドキュメント センターに直接移動することもできます。
VMware Cloud on AWS データセンターの管理
VMware, Inc. 12
ハイブリッド リンク モードの設定 2ハイブリッド リンク モードでは、VMware Cloud on AWS vCenter Server インスタンスをオンプレミスの
vCenter Single Sign-On ドメインとリンクできます。
重要: VMware Cloud on AWS でハイブリッド リンク モードを使用するには、シングル サインオンを有効にする
ように、オンプレミスの vCenter Server を設定する必要があります。詳細については、vCenter Single Sign-On による vSphere 認証を参照してください。
拡張リンク モードでリンクされる vCenter Server インスタンスがドメインに複数含まれている場合、クラウドの
vCenter Server をリンクすると、すべてのインスタンスがクラウド SDDC にリンクされます。
ハイブリッド リンク モードでは、次のことが可能になります。
n オンプレミスおよび vSphere Client データセンターの両方のインベントリを単一の VMware Cloud on AWS インターフェイスで表示および管理(インターフェイスには、オンプレミスの認証情報を使用してアクセス)。
n オンプレミスのデータセンターおよびクラウド SDDC 間でワークロードを移行。
n vCenter Server インスタンスからクラウド SDDC へのタグおよびタグ カテゴリの共有。
ハイブリッド リンク モードは、組み込みまたは外部の Platform Services Controller を使用し、6.0 Update 3 パッ
チ C 以降を実行しているオンプレミスの vCenter Server システム(Windows と vCenter Server Appliance の両
方)に対応しています。外部の Platform Services Controller インスタンスと拡張リンク モードでリンクされている
vCenter Server システムにも、vSphere 6.0 の設定の最大値に記載の上限まで対応しています。
ハイブリッド リンク モードの設定には 2 つのオプションがあります。両方のオプションを同時に使用することはで
きません。
n vCenter Cloud Gateway Appliance をインストールし、オンプレミス データセンターからクラウドの
Software-Defined Data Center (SDDC) へのリンクに使用することができます。この場合、SSO ユーザーとグ
ループはオンプレミス環境から SDDC にマッピングされ、SDDC LDAP ドメインに ID ソースを追加する必要は
ありません。
n VMware Cloud on AWS SDDC をオンプレミスの vCenter Server にリンクすることができます。この場合
は、SDDC LDAP ドメインに ID ソースを追加する必要があります。
この章には、次のトピックが含まれています。
n ハイブリッド リンク モードの前提条件
n vCenter Cloud Gateway Appliance を使用したハイブリッド リンク モードの設定
VMware, Inc. 13
n クラウドの SDDC からのハイブリッド リンク モードの設定
n クラウド SDDC のリンク解除
ハイブリッド リンク モードの前提条件
ハイブリッド リンク モードを設定する場合の前提条件は以下のとおりです。
共通の前提条件
次の前提条件はリンク元が vCenter Cloud Gateway Appliance の場合と、クラウド SDDC の場合で共通です。
n オンプレミス データセンターと SDDC の間の接続を設定します。Direct Connect、VPN、またはその両方を使
用できます。VMware Cloud on AWS Networking and Security ガイドの VMware Cloud on AWS での
AWS Direct Connect の使用および SDDC とオンプレミス データセンターの間の VPN 接続の設定を参照して
ください。
n オンプレミスのデータセンターとクラウド SDDC が、NTP サービスなどの信頼できるタイム ソースと同期して
いることを確認します。ハイブリッド リンク モードを使用する場合、VMware Cloud on AWS では、オンプレ
ミス データセンターとクラウド SDDC 間で、10 分まで時刻の差異が許容されます。
n クラウド SDDC とオンプレミス データセンター間の往復遅延時間は、100 ミリ秒以下にする必要があります。
n どのオンプレミス ユーザーにクラウド管理者権限を付与するかを決定します。ID ソース内のグループに対象の
ユーザーを追加します。このグループに、オンプレミス環境へのアクセス権があることを確認します。
vCenter Cloud Gateway Appliance とリンクする場合の前提条件
次の前提条件は、vCenter Cloud Gateway Appliance とリンクする場合に適用されます。
n オンプレミス環境では、vSphere 6.5 パッチ d 以降が実行されている必要があります。
n vCenter Cloud Gateway Appliance と、使用中の vCenter Server インスタンスが、ネットワークを介して相
互にアクセスできることを確認します。以下のファイアウォール ポートが開かれていることを確認します。
送信元 宛先 ポート 目的
ユーザーの Web ブラウザ vCenter Cloud Gateway Appliance
5480 サポート バンドルの収集
vCenter Cloud Gateway Appliance
オンプレミス vCenter Server 443 ハイブリッド リンク モード
vCenter Cloud Gateway Appliance
オンプレミス Platform Services Controller
443、389 ハイブリッド リンク モード
vCenter Cloud Gateway Appliance
クラウド SDDC vCenter Server 443 ハイブリッド リンク モード
vCenter Cloud Gateway Appliance
クラウド ESXi ホスト 902 仮想マシン コンソール
VMware Cloud on AWS データセンターの管理
VMware, Inc. 14
送信元 宛先 ポート 目的
vCenter Cloud Gateway Appliance
オンプレミスの Active Directory サーバ(使用状況に応
じたポート)
389, 636, 3268, 3269 ID ソース
vCenter Cloud Gateway Appliance
https://vcgw-updates.vmware.com/
443 Cloud Gateway の自動更新
次の図は、vCenter Cloud Gateway Appliance とのリンクのために開く必要があるポートを示しています。
n vCenter Cloud Gateway Appliance アプライアンスをインストールするホストで、以下のハードウェア要件を
満たしていることを確認します。
ハードウェア 最小要件
CPU 8
メモリ 24 GB
ストレージ 190 GB
VMware Cloud on AWS データセンターの管理
VMware, Inc. 15
クラウド SDDC からリンクする場合の前提条件
次の前提条件は、クラウド SDDC からリンクされる場合に適用されます。
n オンプレミスの vCenter Server システムが次のいずれかを実行している。
n vSphere 6.0 Update 3 パッチ C 以降。
n vSphere 6.5 パッチ D 以降。
n オンプレミスの vSphere SSO ドメインのログイン認証情報があることを確認します。
n オンプレミス環境のユーザーおよびグループのベース DN に対して読み取り専用以上のアクセス権が付与され
たユーザー用に、ログイン認証があることを確認します。これは、ID ソースを追加するときに使用されます。
n オンプレミスの DNS サーバが管理ゲートウェイ用に構成され、ID ソースとオンプレミスの VMware Cloud on AWS システムの完全修飾ドメイン名 (FQDN) を解決できる状態になっていることを確認します。
n オンプレミスのゲートウェイまたはファイアウォールによって、SDDC から以下のサービスに必要なポートにア
クセスできることを確認します。
送信元 宛先 ポート 目的
クラウド SDDC オンプレミス vCenter Server 443 ハイブリッド リンク モード
クラウド SDDC オンプレミス Platform Services Controller
389、443 ハイブリッド リンク モード
クラウド SDDC オンプレミスの Active Directory サーバ(使用状況に応
じたポート)
389, 636, 3268, 3269 ID ソース
クラウド SDDC オンプレミス DNS 53 オンプレミスの vCenter Server および Active Directory サーバの
FQDN の解決
クラウド SDDC オンプレミスの ESXi ホスト 902 仮想マシン コンソール
次の図は、クラウド SDDC からのリンクのために開いておく必要があるポートを示しています。
VMware Cloud on AWS データセンターの管理
VMware, Inc. 16
n Connectivity Validator のテストを実施し、ハイブリッド リンク モードのネットワーク接続が適切に確立され
ているかチェックします。ハイブリッド リンク モードのネットワーク接続の検証を参照してください。
vCenter Cloud Gateway Appliance を使用したハイブリッド リンク
モードの設定
vCenter Cloud Gateway Appliance を展開および構成して、オンプレミス環境からハイブリッド リンク モードを
利用できるようにします。
この場合、vCenter Cloud Gateway Appliance にログインして、オンプレミスおよびクラウド環境を一緒に表示お
よび管理します。
n グラフィカル インストーラを使用した vCenter Cloud Gateway Appliance のインストール
オンプレミス データセンターからクラウド Software-Defined Data Center (SDDC) をリンクおよび管理する
場合は、vCenter Cloud Gateway Appliance をダウンロードしてインストールします。
n vCenter Cloud Gateway Appliance インストーラから vCenter Cloud Gateway Appliance をクラウド
SDDC にリンクする
vCenter Cloud Gateway Appliance をインストールしたら、インストール プロセスのステージ 2 でアプライ
アンスをクラウド SDDC にリンクできます。
VMware Cloud on AWS データセンターの管理
VMware, Inc. 17
n コマンドライン インストーラを使用して vCenter Cloud Gateway Appliance をインストールする
Cloud Gateway Appliance のインストールをスクリプト化または自動化するには、コマンドライン インスト
ーラを使用します。
n Gateway Client ユーザー インターフェイスから vCenter Cloud Gateway Appliance をクラウド SDDC にリンクする
これは、インストール プロセスでクラウド SDDC に vCenter Cloud Gateway Appliance をリンクしなかっ
た場合に実行する際の手順です。
n vSphere クラウド ゲートウェイ アプライアンスの証明書の置き換え
vCenter Cloud Gateway Appliance の証明書が期限切れになった場合、または別の証明書プロバイダの証明
書を使用する場合は、この証明書を置き換えることができます。
n Cloud Gateway Appliance のバックアップ
vCenter Cloud Gateway Appliance はステートレスであり、必要に応じて再展開できるため、バックアップ
は必要ありません。
グラフィカル インストーラを使用した vCenter Cloud Gateway Appliance のインストール
オンプレミス データセンターからクラウド Software-Defined Data Center (SDDC) をリンクおよび管理する場合
は、vCenter Cloud Gateway Appliance をダウンロードしてインストールします。
前提条件
ハイブリッド リンク モードの前提条件 で記載されている前提条件を満たしていることを確認します。
手順
1 https://vmc.vmware.com で VMC コンソール にログインします。
2 [ツール] タブをクリックします。
3 Gateway Appliance の [ダウンロード] をクリックします。
My VMware に移動します。ここで、アプライアンスのインストーラの ISO イメージをダウンロードします。
4 インストーラの ISO イメージで、ui-installer フォルダを参照し、アプライアンスをインストールするオペ
レーティング システムのフォルダを開きます。
n Windows OS の場合は、win32 サブディレクトリに移動して installer.exe ファイルを実行します。
n Linux OS の場合は、lin64 サブディレクトリに移動して installer ファイルを実行します。
n Mac OS の場合は、mac サブディレクトリに移動して Installer.app ファイルを実行します。
5 [はじめに] をクリックします。
6 [Cloud Gateway の展開] で、[開始] をクリックします。
7 エンド ユーザー使用許諾契約書に同意します。
VMware Cloud on AWS データセンターの管理
VMware, Inc. 18
8 ゲートウェイの展開パラメータを指定し、[次へ] をクリックします。
オプション 手順
アプライアンスのデプロイ先 ESXi ホストに接続できます。
1 ESXi ホストの完全修飾ドメイン名 (FQDN) のアドレスまたは IP アドレスを入力します。
2 ESXi ホストの HTTPS ポートを入力します。
3 ESXi ホストの管理者権限を持つユーザー(たとえば、root ユーザー)のユーザー名とパスワードを入
力します。
4 [次へ] をクリックします。
5 証明書の警告にターゲットの ESXi ホストにインストールされた SSL 証明書の SHA1 サムプリントが
表示されていることを確認し、[はい] をクリックして証明書サムプリントを受け入れます。
vCenter Server インスタンスに
接続してインベントリを参照し、
アプライアンスをデプロイする
ESXi ホストまたは DRS クラスタ
を選択することができます。
1 vCenter Server インスタンスの FQDN アドレスまたは IP アドレスを入力します。
2 vCenter Server インスタンスの HTTPS ポートを入力します。
3 vCenter Server インスタンス上の vCenter Single Sign-On 管理者権限を持つユーザー(例:
administrator@your_domain_name ユーザー)のユーザー名とパスワードを入力します。
4 [次へ] をクリックします。
5 証明書の警告にターゲットの vCenter Server インスタンスにインストールされた SSL 証明書の
SHA1 サムプリントが表示されていることを確認し、[はい] をクリックしてこれを受け入れます。
6 アプライアンスをデプロイする ESXi ホストまたは DRS クラスタが含まれているデータセンターまた
はデータセンター フォルダを選択し、[次へ] をクリックします。
注: ロックダウン モードまたはメンテナンス モードでない ESXi ホストが 1 つ以上含まれるデータ
センターまたはデータセンター フォルダを選択する必要があります。
7 アプライアンスをデプロイする ESXi ホストまたは DRS クラスタを選択し、[次へ] をクリックします。
9 ターゲット アプライアンス仮想マシンをセットアップし、[次へ] をクリックします。
パラメータ 説明
仮想マシン名 vCenter Cloud Gateway Appliance 仮想マシンの名前を入力します。アプライアンス名に
はパーセント記号 (%)、バックスラッシュ (\) またはスラッシュ (/) を含めることはできず、80 文字以下で入力する必要があります。
root パスワードの設定 vCenter Cloud Gateway Appliance 仮想マシンの root パスワードを設定します。
パスワードは 8 文字以上の空白を含まない小文字の ASCII 文字で入力し、1 つ以上の数字、大
文字と小文字、1 つ以上の特殊文字(感嘆符 (!)、ハッシュ キー (#)、アット記号 (@)、丸括弧
(()) など)が含まれている必要があります。
root パスワードの確認 上記の手順で設定したパスワードを確認します。
10 vCenter Cloud Gateway Appliance のデータストアの場所を選択し、[次へ] をクリックします。
a vCenter Cloud Gateway Appliance を配置するデータストアを選択します。
b [シン ディスク モードの有効化] を選択し、シン ディスクを使用してアプライアンスを展開することでディ
スク容量を確保します。
VMware Cloud on AWS データセンターの管理
VMware, Inc. 19
11 アプライアンスのネットワーク設定を実行し、[次へ] をクリックします。
パラメータ 説明
ネットワーク ネットワークの選択
ドロップダウン メニューに表示されるネットワークは、ターゲット サーバのネットワーク設定
によって異なります。アプライアンスを ESXi ホストに直接展開する場合は、短期のポートバ
インド以外の設定をしている分散仮想ポート グループはサポートされません。このため、この
グループはドロップダウン メニューに表示されません。
IP アドレスのバージョン アプライアンスの IP アドレスのバージョンを選択します。
IPv4 または IPv6 を選択できます。
IP アドレスの割り当て アプライアンスの IP アドレスの割り当て方法を選択します。
n [固定]
ウィザードには、IP アドレスとネットワーク設定の入力を求めるプロンプトが表示されま
す。
注: IP アドレスをシステム名として使用しないようにします。システム名として IP アド
レスを使用する場合は、展開後に IP アドレスを変更して DNS の設定を更新することはで
きません。
n [DHCP]
DHCP サーバを使用して IP アドレスが割り当てられます。環境内で DHCP サーバを使
用できる場合にのみ、このオプションを選択します。
FQDN 環境内に有効な DDNS がある場合は、アプライアンスに完全修飾ドメイン名 (FQDN) を入力
することができます。すでに使用されている FQDN を入力した場合、アプライアンスが使用す
るネットワークを分離しないと環境内にエラーが発生する、という内容の警告がインストーラ
に表示されます。たとえば、既存の FQDN とは異なるポート グループのアプライアンスを展
開できます。
IP アドレス 固定 IP アドレスを選択した場合は、アプライアンスの IP アドレスを入力します。すでに使用
されている IP アドレスを入力した場合、アプライアンスが使用するネットワークを分離しない
と環境内にエラーが発生する、という内容の警告がインストーラに表示されます。たとえば、
既存の IP アドレスとは異なるポート グループのアプライアンスを展開します。
サブネット マスクまたはプリフィックス長 IP アドレスのサブネット マスクまたはプリフィックス長を入力します。
デフォルト ゲートウェイ アプライアンスで使用するデフォルト ゲートウェイを入力します。
DNS サーバ アプライアンスで使用する DNS サーバのアドレスを入力します。
12 アプライアンスを設定して [次へ] をクリックします。
n 時刻の同期に NTP サーバを使用するには、[NTP サーバと時刻を同期] を選択し、テキスト ボックスに 1 台以上の NTP サーバのアドレスを入力します。
n 展開するホストの時刻を同期するには、[ESXi ホストと時刻を同期] を選択します。
13 SSO を設定します。
オプション 説明
Platform Services Controller オンプレミス環境の Platform Services Controller の IP アドレスまたは完全修飾ドメイン名
を入力します。
HTTPS ポート Platform Services Controller が使用する HTTPS ポートを入力します。
VMware Cloud on AWS データセンターの管理
VMware, Inc. 20
オプション 説明
Single Sign-On ドメイン オンプレミス Platform Services Controller で使用する Single Sign-On ドメインを入力し
ます。
Single Sign-On ユーザー名 Single Sign-On 管理者のユーザー名を「user@sso-domain」の形式で入力します。
Single Sign-On パスワード Single Sign-On 管理者のパスワードを入力します。
14 Active Directory ドメインに vCenter Cloud Gateway Appliance を参加させるかどうかを選択します。
オプション 説明
スキップ Active Directory ドメインに vCenter Cloud Gateway Appliance を参加させる手順をス
キップするには、このオプションを選択します。後で、アプライアンスをリンクする前に、ド
メインにアプライアンスを参加させる必要があります。
参加 次のパラメータを入力します。
a [ドメイン] テキスト ボックスで、Active Directory ドメイン名を入力します。例:
mydomain.com。
b 必要に応じて、[組織単位] テキスト ボックスで、OU、LDAP、FQDN をすべて指定しま
す。例: OU = Engineering, DC = mydomain, DC = com。
c [ユーザー名] テキスト ボックスに、ユーザー プリンシパル名 (UPN) 形式で Active Directory の管理者のユーザー名を入力します。例: [email protected]。
d [パスワード] フィールドで、Active Directory の管理者パスワードを入力します。
15 [完了] をクリックしてアプライアンスを展開します。
vCenter Cloud Gateway Appliance が、オンプレミス環境に展開されます。進行状況バーに、展開の進行状況が表
示されます。
次のステップ
vCenter Cloud Gateway Appliance をクラウド SDDC にリンクするには、インストーラの手順 2 に進みます。
vCenter Cloud Gateway Appliance インストーラから vCenter Cloud Gateway Appliance をクラウド SDDC にリンクするを参照してください。
注: アプライアンスをインストールした後、VMware ナレッジベースの記事 KB67158 のガイドラインに沿って、
アプライアンス ログを収集するよう設定することを検討してください。アプライアンス ログは、サポートを要求す
るときに役立ちます。
vCenter Cloud Gateway Appliance インストーラから vCenter Cloud Gateway Appliance をクラウド SDDC にリンクする
vCenter Cloud Gateway Appliance をインストールしたら、インストール プロセスのステージ 2 でアプライアン
スをクラウド SDDC にリンクできます。
前提条件
グラフィカル インストーラを使用した vCenter Cloud Gateway Appliance のインストールの説明に沿って、イン
ストール プロセスのパート 1 を完了します。
VMware Cloud on AWS データセンターの管理
VMware, Inc. 21
手順
1 インストーラの [展開ステージ] 画面で、[ステージ 2: ハイブリッド リンク モードの設定] の下にある [開始] をクリックします。
2 クラウドの vCenter Server に接続します。
オプション 説明
vCenter Server クラウド SDDC 内の vCenter Server インスタンスの IP アドレスまたは FQDN を入力しま
す。
ユーザー名 クラウド管理者のユーザー名を入力します。
パスワード クラウド管理者のパスワードを入力します。
3 オンプレミス環境でクラウド管理者グループとして機能するように定義したグループを追加します。
a オンプレミスの ID ソースを選択します。
b 検索ボックスに管理者グループの名前を入力し、グループを選択します。
4 [終了] をクリックします。
進行状況バーに、リンク処理の進行状況が表示されます。
次のステップ
リンクが完了すると、vCenter Cloud Gateway Appliance を使用してオンプレミスおよびクラウド SDDC のイン
ベントリを表示および管理できるようになります。このインターフェイスには http://cga-address/ui からアクセ
スします。ここで、cga-address は vCenter Cloud Gateway Appliance の IP アドレスまたは FQDN です。
コマンドライン インストーラを使用して vCenter Cloud Gateway Appliance をインストールする
Cloud Gateway Appliance のインストールをスクリプト化または自動化するには、コマンドライン インストーラを
使用します。
コマンド vcgw-deploy を使用してコマンドラインから vCenter Cloud Gateway Appliance をインストールしま
す。アプライアンスのインストールに加えて、vcgw-deploy を使用してインストール テンプレートを検証し、イン
ストールの事前チェックを実行できます。vcgw-deploy のオプションをすべて確認するには、
vcgw-deploy install --help を実行します。
前提条件
ハイブリッド リンク モードの前提条件の前提条件を満たしていることを確認します。
手順
1 https://vmc.vmware.com で VMC コンソール にログインします。
2 [ツール] タブをクリックします。
3 Gateway Appliance の [ダウンロード] をクリックします。
My VMware に移動します。ここで、アプライアンスのインストーラの ISO イメージをダウンロードします。
VMware Cloud on AWS データセンターの管理
VMware, Inc. 22
4 インストールの JSON テンプレートを準備します。
a インストーラの ISO イメージで、cli-installer/templates フォルダを参照します。
このフォルダには、vCenter Cloud Gateway Appliance を ESXi ホストに直接、または vCenter Server システムを介してインストールするためのサンプル JSON テンプレートが含まれています。
b テンプレートを作業ディレクトリにコピーし、編集して必要なパラメータを追加します。
利用可能なテンプレート パラメータの詳細については、オプション --template-help を使用してインス
トーラを起動します。たとえば、Windows では、vcgw-deploy.exe install --template-help と
入力します。
5 コマンドラインから、cli-installer フォルダに移動して、インストールの事前チェックを実行します。
n Windows OS の場合は、vcgw-deploy.exe install path-to-template --precheck-only と入
力します。
n Linux OS の場合は、vcgw-deploy install path-to-template --precheck-only と入力します。
n Mac OS の場合は、vcgw-deploy install path-to-template --precheck-only と入力します。
事前チェックでは、指定されているテンプレートとパラメータに関する問題が特定されるため、インストールを
開始する前にエラーを修正できます。
6 インストーラを起動します。
n Windows OS の場合は、vcgw-deploy.exe install path-to-template --accept-eula と入力
します。
n Linux OS の場合は、vcgw-deploy install path-to-template --accept-eula と入力します。
n Mac OS の場合は、vcgw-deploy install path-to-template --accept-eula と入力します。
次のステップ
Gateway Client ユーザー インターフェイスから vCenter Cloud Gateway Appliance をクラウド SDDC にリンク
するの説明に沿って、vCenter Cloud Gateway Appliance をクラウド SDDC にリンクします。
注: アプライアンスをインストールした後、VMware ナレッジベースの記事 KB67158 のガイドラインに沿って、
アプライアンス ログを収集するよう設定することを検討してください。アプライアンス ログは、サポートを要求す
るときに役立ちます。
Gateway Client ユーザー インターフェイスから vCenter Cloud Gateway Appliance をクラウド SDDC にリンクする
これは、インストール プロセスでクラウド SDDC に vCenter Cloud Gateway Appliance をリンクしなかった場合
に実行する際の手順です。
前提条件
n このタスクを実行するには、オンプレミス環境の管理者権限が必要です。
VMware Cloud on AWS データセンターの管理
VMware, Inc. 23
手順
1 Web ブラウザで、http://cga-address/ui に移動します。ここで、cga-address は vCenter Cloud Gateway Appliance の IP アドレスまたは FQDN です。
2 オンプレミスの認証情報でログインします。
3 [ハイブリッド クラウド] で、[リンクされたドメイン] を選択します。
4 クラウドの vCenter Server に接続します。
オプション 説明
vCenter Server クラウド SDDC 内の vCenter Server インスタンスの IP アドレスまたは FQDN を入力しま
す。
ユーザー名 クラウド管理者のユーザー名を入力します。
パスワード クラウド管理者のパスワードを入力します。
5 オンプレミス環境でクラウド管理者グループとして機能するように定義したグループを追加します。
a オンプレミスの ID ソースを選択します。
b 検索ボックスに管理者グループの名前を入力し、グループを選択します。
6 [終了] をクリックします。
次のステップ
リンクが完了すると、vCenter Cloud Gateway Appliance を使用してオンプレミスおよびクラウド SDDC のイン
ベントリを表示および管理できるようになります。このインターフェイスには http://cga-address/ui からアクセ
スします。ここで、cga-address は vCenter Cloud Gateway Appliance の IP アドレスまたは FQDN です。
vSphere クラウド ゲートウェイ アプライアンスの証明書の置き換え
vCenter Cloud Gateway Appliance の証明書が期限切れになった場合、または別の証明書プロバイダの証明書を使
用する場合は、この証明書を置き換えることができます。
前提条件
置き換える各証明書の証明書署名要求 (CSR) を生成します。認証局に CSR を提供します。認証局 (CA) が証明書を
返したら、vCenter Cloud Gateway Appliance からアクセスできる場所にこの証明書を配置します。
手順
1 Web ブラウザで、http://cga-address/ui に移動します。ここで、cga-address は vCenter Cloud Gateway Appliance の IP アドレスまたは FQDN です。
2 オンプレミスの認証情報でログインします。
3 ユーザー インターフェイスで [証明書の管理] に移動します。
a [ホーム] メニューから [管理] を選択します。
b [証明書] で、[証明書の管理] をクリックします。
VMware Cloud on AWS データセンターの管理
VMware, Inc. 24
4 認証情報を入力し、[ログインして証明書を管理] をクリックします。
5 マシン SSL 証明書で、[アクション] - [置き換え] の順に選択します。
6 証明書チェーンの [参照] ボタンをクリックし、証明書チェーン ファイルのパスを入力します。
このファイルには、マシン SSL 証明書、ルート CA 証明書、および信頼のチェーン全体が含まれています。
7 プライベート キーの [参照] ボタンをクリックして、証明書のプライベート キーを指定します。
8 [置き換え] をクリックします。
次のステップ
証明書が正常に置き換えられたら、vCenter Cloud Gateway Appliance のすべてのサービスを再起動します。
https://kb.vmware.com/s/article/2109887 を参照してください。
Cloud Gateway Appliance のバックアップ
vCenter Cloud Gateway Appliance はステートレスであり、必要に応じて再展開できるため、バックアップは必要
ありません。
ファイルベースのバックアップとリストア ソリューションは、vCenter Cloud Gateway Appliance ではサポートさ
れていません。
クラウドの SDDC からのハイブリッド リンク モードの設定
vCenter Cloud Gateway Appliance を使用する代わりに、クラウドの SDDC からハイブリッド リンク モードを設
定できます。
この場合、クラウドの SDDC の vSphere Client を使用して、インベントリ全体を表示および管理します。クラウド
SDDC からリンクする場合は、1 つのオンプレミス ドメインのみをリンクできます。
ハイブリッド リンク モードのネットワーク接続の検証
VMC コンソール Connectivity Validator を使用すると、ハイブリッド リンク モードに必要なネットワーク接続がす
べて適切に確立されているかをチェックできます。
Connectivity Validator に必要な情報を入力すると、ハイブリッド リンク モードに必要なネットワーク接続を確認
できます。
手順
1 https://vmc.vmware.com で VMC コンソール にログインします。
2 SDDC の [詳細の表示] をクリックします。
3 [トラブルシューティング] タブをクリックします。
4 [使用事例] ドロップダウン メニューから、[ハイブリッド リンク モード] を選択します。
ハイブリッド リンク モードの接続テストが表示されます。テストは、必要となる入力情報に基づいて、複数の
グループにまとめられています。
5 [入力] 列に、実行する各テストに必要な情報を入力します。
VMware Cloud on AWS データセンターの管理
VMware, Inc. 25
6 1 つまたは複数のテストを実行します。
n すべてのテストを実行する場合は、[すべて実行] をクリックします。
n 特定のテスト グループを実行する場合は、グループのリストの右側にある [グループで実行] をクリックしま
す。
n 個々のテストを実行する場合は、テスト グループを展開し、個々のテストの横にある [実行] をクリックしま
す。
実行時に、各テストのステータスが表示されます。テストが終了したら、そのテストを展開して結果の詳細を確認で
きます。
次のステップ
すべてのテストに成功したら、ハイブリッド リンク モードの設定を進めることができます。SDDC LDAP ドメイン
への ID ソースの追加 を参照してください。
Connectivity Validator: DNS サーバに到達できない
オンプレミスのプライマリ DNS サーバまたはセカンダリ DNS サーバのテストが Connectivity Validator で失敗し
ます。
問題
Connectivity Validator で、[ポート 53 でのオンプレミス プライマリ DNS サーバへの接続] または [ポート 53 での
セカンダリ DNS サーバへの接続] のテストが「ポート 53 の接続がタイムアウトになりました」というメッセージと共に失
敗します。
図 2-1. 失敗した DNS サーバ接続テストの画像
原因
この失敗は、以下の原因により発生している可能性があります。
n クラウドの SDDC からオンプレミスのデータセンターへの IPsec VPN 接続が停止している可能性があります。
n DNS サーバのポート 53 が、クラウドの SDDC またはオンプレミスのデータセンターのファイアウォール ルー
ルによってブロックされています。
n DNS サーバの IP アドレスが誤って入力されています。
n DNS サーバが停止しています。
解決方法
1 クラウドの SDDC からオンプレミスに VPN トンネルが確立されていることを確認します。VPN トンネルのス
テータスと統計情報の表示を参照してください。
VMware Cloud on AWS データセンターの管理
VMware, Inc. 26
2 VMC コンソール でファイアウォール ルールを確認し、オンプレミス DNS サーバのポート 53 へのアクセスが
ブロックされないようにします。
3 オンプレミス環境のファイアウォール ルールを確認し、オンプレミス DNS サーバのポート 53 へのアクセスが
ブロックされないようにします。
4 オンプレミス DNS サーバの正しい IP アドレスを入力していることを確認します。管理ゲートウェイの DNS サーバの指定を参照してください。
5 DNS サーバが実行されていることを確認し、停止している場合には起動します。
Connectivity Validator:指定した FQDN への DNS ルックアップの失敗
オンプレミスの vCenter Server、Platform Services Controller、Active Directory、または ESXi への DNS ルック
アップ テストが失敗する。
問題
1 つ以上の DNS ルックアップのテストが失敗する。テスト結果内の [解決したアドレス] フィールドに結果が表示さ
れない。
図 2-2. DNS ルックアップ テスト失敗の例
原因
DNS サーバの到達可能性テストが成功し、指定した FQDN への DNS ルックアップが失敗する場合は、以下のいず
れかが原因の可能性があります。
n オンプレミスの DNS サーバに、指定した FQDN に対するエントリがありません。
n テストで、正しくない FQDN が入力されています。
解決方法
1 正しい FQDN を入力したことを確認します。
2 オンプレミスの DNS サーバに FQDN に対するエントリがあることを確認します。
Connectivity Validator:指定した FQDN への ping の失敗
オンプレミスの vCenter Server、Platform Services Controller、Active Directory、または ESXi への ping テスト
が失敗する。
VMware Cloud on AWS データセンターの管理
VMware, Inc. 27
問題
指定した FQDN への ping テストが失敗する。ICMP パケットへの応答がないというテスト詳細を受信する。
図 2-3. ping テスト失敗の例
原因
この失敗は、以下の原因により発生している可能性があります。
n クラウド SDDC またはオンプレミス データセンターのファイアウォール ルールが ICMP トラフィックをブロ
ックしている可能性があります。
n 指定した FQDN を持つリモート システムがパワーオフ状態です。
解決方法
1 VMC コンソール に設定されているファイアウォール ルールを確認して、指定した FQDN への ICMP トラフィ
ックがブロックされないようにします。
2 オンプレミスのファイアウォール ルールを確認して、指定した FQDN への ICMP トラフィックがブロックされ
ないようにします。
3 ping の送信先のリモート システムがパワーオン状態で機能していることを確認し、必要に応じてパワーオンま
たは再起動します。
Connectivity Validator:指定した FQDN へのポートの到達可能性の障害
特定のポートへの到達テスト
問題
指定された FQDN の特定のポートへの接続テストが、「ポート port-number の接続がタイムアウトになりました」という
メッセージと共に失敗する。
VMware Cloud on AWS データセンターの管理
VMware, Inc. 28
図 2-4. ポートの到達テスト失敗の例
原因
この失敗は、以下の原因により発生している可能性があります。
n クラウド SDDC またはオンプレミス データセンターのファイアウォール ルールがポートへのアクセスをブロッ
クしている可能性があります。
n 指定した FQDN を持つリモート システムがパワーオフ状態です。
解決方法
1 VMC コンソール に設定されているファイアウォール ルールを確認して、指定したポートへのアクセスがブロッ
クされないようにします。
2 オンプレミスのファイアウォール ルールを確認して、指定したポートへのアクセスがブロックされないようにし
ます。
3 ping の送信先のリモート システムがパワーオン状態で機能していることを確認し、必要に応じてパワーオンま
たは再起動します。
Connectivity Validator:指定した FQDN への traceroute の失敗
指定した FQDN への traceroute テストが失敗する。
問題
FQDN への traceroute テストが失敗する。テスト結果に、宛先へのホップが IP アドレスなしで表示される。
VMware Cloud on AWS データセンターの管理
VMware, Inc. 29
図 2-5. traceroute テスト失敗の例
原因
この失敗は、以下の原因により発生している可能性があります。
n FQDN 自体への ping テストが成功する場合は、クラウド SDDC またはオンプレミス データセンターのファイ
アウォール ルールが、トラフィック パス中のいずれかのホップへの ICMP トラフィックをブロックしている可
能性があります。
n 指定した FQDN を持つリモート システムがパワーオフ状態です。
解決方法
1 VMC コンソール に設定されているファイアウォール ルールを確認して、トラフィック パス中のホップのいずれ
かに対する ICMP トラフィックがブロックされないようにします。
2 オンプレミスのファイアウォール ルールを確認して、トラフィック パス中のホップのいずれかに対する ICMP トラフィックがブロックされないようにします。
3 リモート システムがパワーオン状態で機能していることを確認し、必要に応じてパワーオンまたは再起動しま
す。
Connectivity Validator:内部エラーによるテストの失敗
テストが内部エラーにより失敗する。
問題
Connectivity Validator のテストのいずれかが、「内部エラー:」で始まるメッセージと共に失敗することがある。
VMware Cloud on AWS データセンターの管理
VMware, Inc. 30
図 2-6. 内部エラーにより失敗したテストの例
原因
このエラーは、Connectivity Validator で内部接続の問題を検出した際に発生する最も一般的なものです。
解決方法
これらの失敗のほとんどは一時的なもので、対処の必要もなく解決します。ただし、エラーが解決しない場合は
VMware カスタマ サポートにお問い合わせください。
SDDC LDAP ドメインへの ID ソースの追加
SDDC からハイブリッド リンク モードを設定するための最初のステップは、オンプレミスの LDAP ドメインを
SDDC vCenter Server の ID ソースとして追加することです。
オンプレミス LDAP サービスがネイティブの Active Directory(統合 Windows 認証)ドメインまたは OpenLDAP ディレクトリ サービスによって提供されている場合は、SDDC からハイブリッド リンク モードを設定できます。
重要: OpenLDAP を ID ソースとして使用している場合は、VMware ナレッジベースの記事 (http://kb.vmware.com/kb/2064977) で追加要件を確認してください。
前提条件
ハイブリッド リンク モードの前提条件の共通の前提条件を満たしていることを確認します。
手順
1 SDDC の vSphere Client にログインします。
ID ソースを追加するには、[email protected] またはクラウド管理者グループの別のメンバーとしてログ
インする必要があります。
VMware Cloud on AWS データセンターの管理
VMware, Inc. 31
2 [ID ソースの追加] ダイアログが表示されます。
使用事例 説明
ハイブリッド リンク モード a [メニュー] - [管理] の順に選択します。
b [ハイブリッド クラウド] で、[リンクされたドメイン] を選択します。
c [クラウド管理者の追加] で、[ID ソース] ドロップダウン メニューから [ID ソースの追加] を選択します。
その他のすべての使用事例 a [メニュー] - [管理] の順に選択します。
b [シングル サインオン] で、[構成] をクリックします。
c [ID ソース] をクリックし、[追加] をクリックします。
3 ID ソースの設定を行います。
オプション 説明
ID ソース タイプ Windows Active Directory Server の場合は [LDAP サーバとしての Active Directory] を、
Open LDAP サーバの場合は [Open LDAP] を選択します。
名前 ID ソースの名前を入力します。
ユーザーのベース DN ユーザーのベース識別名を入力します。
グループのベース DN グループのベース識別名を入力します。
ドメイン名 ドメインの FQDN。ここに IP アドレスは入力しないでください。
ドメイン エイリアス ドメインのエイリアスを入力します。
Active Directory の ID ソースの場合、ドメインの NetBIOS 名。SSPI 認証を使用する場合は、
ID ソースの別名として Active Directory ドメインの NetBIOS 名を追加します。
ユーザー名 ユーザーとグループのベース DN に対して、最低限の読み取り専用アクセス権を持つドメイン
内のユーザーの ID を入力します。DN 形式ではなく、UPN 形式(例、[email protected])
を使用します。
パスワード [ユーザー名] で指定したユーザーのパスワードを入力します。
接続先 接続するドメイン コントローラを選択します。
n 任意のドメイン コントローラに接続するには、[ドメイン内の任意のドメイン コントロー
ラ] を選択します。
n ドメイン コントローラを指定するには、[特定のドメイン コントローラ] を選択します。
[特定のドメイン コントローラ] を選択する場合は、プライマリ サーバとフェイルオーバーに使
用するセカンダリ サーバの URL を指定します。ldap://hostname:port または ldaps://hostname:port 形式を使用します。通常のポートは、LDAP 接続では 389、LDAPS 接続では
636 です。Active Directory のマルチドメイン コントローラを展開する場合、通常のポート
は LDAP 接続で 3268、LDAPS 接続で 3269 です。
SSL 証明書 LDAPS 接続を使用する場合は、[参照] を選択し、LDAPS 接続のセキュリティ用にアップロー
ドする証明書ファイルを選択します。
ID ソースを追加すると、オンプレミス ユーザーは、SDDC への認証が可能ですが、[アクセスなし] ロールが付与さ
れます。ユーザーのグループの権限を追加して、クラウド管理者ロールを付与します。
VMware Cloud on AWS データセンターの管理
VMware, Inc. 32
オンプレミス データセンターへのリンク
クラウドの SDDC からのハイブリッド リンク モードの設定を完了するには、クラウド vCenter Server からオンプ
レミスのデータセンターをリンクします。
手順
1 SDDC の vSphere Client にログインしていない場合はログインし、[リンクされたドメイン] ページに移動しま
す。
a [メニュー] - [管理] の順に選択して、[管理] ページを表示します。
b [ハイブリッド クラウド] で、[リンクされたドメイン] を選択します。
2 オンプレミスの vCenter Server に接続します。
オプション 説明
Platform Services Controller オンプレミス データセンター内の Platform Services Controller インスタンスの IP アドレ
スまたは FQDN を入力します。
HTTPS ポート Platform Services Controller が使用する HTTPS ポートを入力します。
ユーザー名 オンプレミスの SSO 管理者のユーザー名を入力します。
パスワード オンプレミスの SSO 管理者パスワードを入力します。
3 オンプレミス環境でクラウド管理者グループとして機能するように定義したグループを追加します。
a オンプレミスの ID ソースを選択します。
オンプレミスの ID ソースをまだ追加していない場合は、SDDC LDAP ドメインへの ID ソースの追加 を確
認して実行します。
b 検索ボックスに管理者グループの名前を入力し、グループを選択します。
4 [リンク] をクリックします。
クラウド SDDC のリンク解除
クラウド SDDC と特定のオンプレミス データセンターの間のリンクが不要になったら、ハイブリッド リンク モード
からクラウド SDDC をリンク解除できます。
ここでは、仮想マシンを SDDC に移行するためにオンプレミス データセンターを SDDC にリンクし、その後オンプ
レミス データセンターとのリンクを解除する場合を想定します。リンクされたオンプレミス データセンターを廃止
する場合は、先にリンクを解除します。
注: クラウド SDDC からオンプレミス データセンターのリンクを解除しても、ドメインをリンクする前に追加し
た、関連する ID ソースや権限は削除されません。リンク解除後も、ユーザーはオンプレミスの認証情報を使用して
SDDC への認証を行うことができ、これまでに付与された権限も保持できます。ただし、ドメインのリンクを解除す
ると、オンプレミスのインベントリは表示できなくなります。クラウド SDDC を vCenter Cloud Gateway Appliance からリンク解除すると、ユーザーは、クラウド SDDC へのログインに、オンプレミスの認証情報を使用
できなくなります。
VMware Cloud on AWS データセンターの管理
VMware, Inc. 33
リンク解除後、タグとカテゴリはクラウド SDDC 内の仮想マシンが引き続き使用する可能性があるため保持されま
す。
前提条件
SDDC 管理ゲートウェイと SSO ドメイン間にネットワーク接続があることを確認します。
手順
1 該当するシステムにログインします。
n クラウド SDDC とオンプレミス データセンターを vCenter Cloud Gateway Appliance からリンクした
場合は、vCenter Cloud Gateway Appliance のユーザー インターフェイスにログインします。
n クラウド SDDC とオンプレミス データセンターをクラウド vCenter Server からリンクした場合は、使用し
ている SDDC 用の vSphere Client にログインします。
2 [リンクされたドメイン] ページを参照します。
a [メニュー] - [管理] の順に選択して、[管理] ページを表示します。
b [ハイブリッド クラウド] で、[リンクされたドメイン] を選択します。
3 該当するリンクされたドメイン名で、[リンク解除] をクリックします。
リンク解除の確認を求めるダイアログ ボックスが表示されます。ドメインのリンクを解除すると、すべてのアク
ティブなセッションからログアウトすることに注意してください。
4 [OK] をクリックします。
リンクの解除が完了すると、ログアウトの確認メッセージが表示されます。
5 [OK] をクリックして、ログアウトします。
SSO ドメインのリンクが解除されました。ハイブリッド リンク モードの使用を継続したい場合は、別の SSO ドメイ
ンにリンクするか、同じドメインに再リンクします。
注: クラウド SDDC からリンクを解除した後、クラウド SDDC の vSphere Client への新しい接続では、過去にリ
ンクされていたオンプレミスのリソースの表示と操作は実行できません。リンク解除時にクラウド SDDC の
vSphere Client で有効なセッションがある場合、ユーザーがクラウド SDDC の vCenter Server からログアウトす
るかセッションの期限が切れるまで、過去にリンクされていたオンプレミスの vSphere Client のリソースを表示し、
操作できます。必要に応じて、過去にリンクされていたオンプレミスの vCenter Server の各インスタンスにログイ
ンし、これらのセッションを強制的に終了します。
vCenter Cloud Gateway Appliance からリンクを解除した後、vCenter Cloud Gateway Appliance への新しい接
続では、過去にリンクされていたクラウド リソースの表示と操作は実行できせん。リンク解除時に、vCenter Cloud Gateway Appliance にアクティブなセッションがある場合、ユーザーがログアウトするかセッションの期限が切れ
るまで、クラウド SDDC のリソースを表示し、操作できます。必要に応じて、vCenter Cloud Gateway Appliance にログインし、これらのセッションを強制的に終了します。
VMware Cloud on AWS データセンターの管理
VMware, Inc. 34
VMware Cloud on AWS の vCenter Server 3vCenter Server は、オンプレミスとクラウドの仮想マシン用の管理プラットフォームです。ストレージ、HA、DRS の設定など、vCenter Server のセットアップは、VMware が行います。オンプレミス環境と同様に、vCenter Serverを調査できます。
オンプレミスの vSphere 環境では、ライセンス、統計情報収集、ログ作成など、vCenter Server のさまざまな設定
を変更できます。
VMware Cloud on AWS 環境では、次のタスクを実行できます。
表 3-1. VMware Cloud on AWS での vCenter Server タスク
タスク 説明
ウェルカム メッセージの設定 メッセージを設定し、VMware Cloud on AWSSDDC の他のユーザーに
送信します。
vCenter Server オブジェクト階層の調査 階層の調査は、オンプレミス環境からクラウドに移行する場合に特に効果
的です。
イベント、アラーム、および最近のタスクの調査 vCenter Server では、イベントおよびアラームの包括的なログが記録さ
れます。アラームは対象となる画面にも直接表示されます。
この章には、次のトピックが含まれています。
n 他のログイン ユーザーへのメッセージの送信
n vCenter Server の一般的な設定の確認
n イベント、アラーム、最近のタスクの表示
他のログイン ユーザーへのメッセージの送信
管理者は、vCenter Server システムにログイン中のユーザーにメッセージを送信できます。メッセージでメンテナン
スについての通知や、一時的にログアウトするようユーザーに要求する通知を送信することができます。
手順
1 vSphere Client で、vCenter Server インスタンスに移動します。
2 [構成] をクリックします。
3 [設定] - [ウエルカム メッセージ] の順に選択して、[編集] をクリックします。
VMware, Inc. 35
4 メッセージを入力し、[OK] をクリックします。
アクティブなユーザー セッションごとに、vSphere Client の上部にメッセージが表示されます。
vCenter Server の一般的な設定の確認
VMware Cloud on AWSSDDC をプロビジョニングすると、VMware が vCenter Server を作成します。現在の設
定を確認できます。
オンプレミス環境では、vCenter Server の設定をきめ細やかに調整しなければならない場合があります。VMware が VMware Cloud on AWS の vCenter Server インスタンスを管理するため、設定を手動で変更する必要はありま
せん。リソース割り当て、ネットワーク、およびその他の属性を表示して確認できます。
手順
1 vSphere Client で [ホーム] をクリックし、vCenter Server の概要を確認します。
2 詳細については、[メニュー] - [ホストおよびクラスタ] の順に選択し、vCenter Server を選択します。各タブで
情報を確認します。
イベント、アラーム、最近のタスクの表示
vCenter Server では、イベント、アラーム、最近のタスクのログが記録されます。vSphere Client から、VMware Cloud on AWS のイベント、アラーム、タスクを確認できます。
n イベントは、vCenter Server のオブジェクトまたはホストで発生した、ユーザー アクションまたはシステム アクションの記録です。
VMware Cloud on AWS データセンターの管理
VMware, Inc. 36
n アラームは、インベントリ オブジェクトのイベント、条件のセット、または状態に応じて起動される通知です。
詳細については、『vSphere の監視およびパフォーマンス』ドキュメントを参照してください。
手順
1 イベント コンソールを表示するには、[メニュー] - [イベント] の順に選択します。
イベントを選択して詳細を表示したり、コンソール表示を並べ替えたりできます。[次へ] をクリックすると、古
いイベントを表示できます。
2 タスク コンソールを表示するには、[メニュー] - [タスク] の順に選択します。
タスクを選択して詳細や関連イベントを表示したり、コンソールの表示を並べ替えたりできます。[次へ] をクリ
ックすると、古いタスクを表示できます。
3 アラームは複数の方法で表示できます。
n アラームが関連付けられているオブジェクトには、オブジェクト階層にアラーム アイコンが表示されます。
オブジェクトの [サマリ] タブを選択すると詳細を表示できます。
n vSphere Client の下部にある [アラーム] を選択すると、最近のアラームとタスクを表示できます。関連す
るオブジェクトをクリックすると内容を確認できます。
注: アラーム付きのオブジェクトがリンクされた vCenter Server システムの場合、問題が深刻すぎると、
そのオブジェクトの内容を確認できないことがあります。
VMware Cloud on AWS データセンターの管理
VMware, Inc. 37
vCenter Single Sign-On による vSphere 認証 4vCenter Single Sign-On は認証ブローカおよびセキュリティ トークン交換インフラストラクチャです。ユーザー
が vCenter Single Sign-On の認証を受けることができる場合、そのユーザーは SAML トークンを受信します。その
後、ユーザーは SAML トークンを使用して vCenter Server サービスの認証を受けることができます。次に、ユーザ
ーは権限のあるアクションを実行できます。
すべての通信でトラフィックが暗号化され、認証されたユーザーのみが権限のあるアクションを実行できるため、環
境の安全が確保されます。
vSphere 6.0 以降では、vCenter Single Sign-On は Platform Services Controller に含まれています。Platform Services Controller には、vCenter Server および vCenter Server コンポーネントをサポートする共有サービスが
用意されています。これらのサービスには、vCenter Single Sign-On、VMware Certificate Authority、License Service が含まれます。Platform Services Controller の詳細については、『vCenter Server のインストールとセッ
トアップ』を参照してください。
最初のハンドシェイクでは、ユーザーはユーザー名とパスワード、ソリューション ユーザーは証明書を使用して認証
を行います。ソリューション ユーザー証明書の置き換えについては、vSphere セキュリティ証明書を参照してくだ
さい。
次の手順は、特定のタスクを実行するために認証を受けることができるユーザーを認証することです。多くの場合、
通常はロールを持つグループにユーザーを割り当てることで vCenter Server 権限を割り当てます。vSphere は、グ
ローバル権限などその他の権限モデルを含みます。『vSphere のセキュリティ』を参照してください。
この章には、次のトピックが含まれています。
n vCenter Single Sign-On によって環境を保護する方法
n vSphere での vCenter Single Sign-On の使用
n vCenter Single Sign-On による vCenter Server の ID ソース
n SDDC LDAP ドメインへの ID ソースの追加
n vCenter Single Sign-On ポリシーの管理
vCenter Single Sign-On によって環境を保護する方法
vCenter Single Sign-On を使用すると、vSphere コンポーネントの安全なトークン メカニズムを介した相互通信が
可能になります。
VMware, Inc. 38
vCenter Single Sign-On は次のサービスを使用します。
n STS (Security Token Service)。
n トラフィックを保護するための SSL。
n Active Directory または OpenLDAP を介した人間のユーザー認証。
ユーザー(人)の vCenter Single Sign-On ハンドシェイク
次の図に、ユーザー(人)のハンドシェイクを示します。
図 4-1. ユーザー(人)の vCenter Single Sign-On ハンドシェイク
vSphere Web Client
12
3 4
5
6
VMwareディレクトリサービス
CA
vCenterServer
vCenter SingleSign-On
Kerberos
1 ユーザーは、vCenter Server システムや別の vCenter サービスにアクセスするためのユーザー名とパスワード
で、vSphere Client にログインします。
また、ユーザーはパスワードなしでログインして、[Windows セッション認証を使用してください] チェック ボックスにチェックを付けることができます。
2 vSphere Client は、ログイン情報を vCenter Single Sign-On サービスに渡します。このサービスにより、
vSphere Client の SAML トークンがチェックされます。vSphere Client に有効なトークンがある場合、
vCenter Single Sign-On により、ユーザーが構成済み ID ソース (Active Directory など) に存在するかどう
かがチェックされます。
n ユーザー名のみが使用されている場合は、vCenter Single Sign-On によってデフォルト ドメイン内がチェ
ックされます。
n ドメイン名がユーザー名に含まれている場合(DOMAIN\user1 または user1@DOMAIN)、vCenter Single Sign-On によってそのドメインがチェックされます。
3 ユーザーが ID ソースの認証を受けることができる場合、そのユーザーを vSphere Client に示すトークンが
vCenter Single Sign-On によって返されます。
4 vSphere Client はトークンを vCenter Server システムに渡します。
VMware Cloud on AWS データセンターの管理
VMware, Inc. 39
5 vCenter Server は、トークンが有効で期限切れになっていないことを、vCenter Single Sign-On サーバでチェ
ックします。
6 vCenter Single Sign-On サーバにより、トークンが vCenter Server システムに返され、vCenter Server 認可
フレームワークを使用してユーザーのアクセスを許可します。
これで、ユーザーは認証を受けて、自分のロールに権限があるすべてのオブジェクトを表示および変更できます。
サポートされている暗号化
最高レベルの暗号化である AES 暗号化がサポートされています。サポートされている暗号化は、vCenter Single Sign-On が ID ソースとして Active Directory を使用するときにセキュリティに影響します。
vSphere での vCenter Single Sign-On の使用
ユーザーが vSphere コンポーネントにログインする際、または、vCenter Server のソリューション ユーザーが別の
vCenter Server サービスにアクセスする際に、vCenter Single Sign-On が認証を実施します。ユーザーは、
vCenter Single Sign-On によって認証され、vSphere オブジェクトを操作するために必要な権限を持っている必要
があります。
vCenter Single Sign-On は、ソリューション ユーザーとその他のユーザーの両方を認証します。
n ソリューション ユーザーは、vSphere 環境内の一連のサービスを表します。インストールの際、VMCA はデフ
ォルトで、各ソリューション ユーザーに証明書を割り当てます。ソリューション ユーザーは、その証明書を使
用して vCenter Single Sign-On への認証を行います。vCenter Single Sign-On は、ソリューション ユーザー
に SAML トークンを提供し、その後、ソリューション ユーザーは、環境内の他のサービスと連携することが可
能になります。
n たとえば、他のユーザーが vSphere Client から環境内にログインしてきた場合、vCenter Single Sign-On によ
って、ユーザー名とパスワードが求められます。その認証情報を持つユーザーが、対応する ID ソース内に見つ
かると、vCenter Single Sign-On はそのユーザーに SAML トークンを割り当てます。このユーザーは、再び認
証を求められることなく、環境内の他のサービスにアクセスできます。
ユーザーが表示できるオブジェクトと、何を実行できるかは、通常 vCenter Server の権限設定で決まります。
vCenter Server 管理者は、vCenter Single Sign-On からではなく、vSphere Web Client または vSphere Client の [権限] インターフェイスから権限を割り当てます。『vSphere のセキュリティ』を参照してください。
vCenter Single Sign-On ユーザーと vCenter Server ユーザー
ユーザーはログイン ページで認証情報を入力して、vCenter Single Sign-On に対して認証を行います。vCenter Server への接続後、認証済みユーザーは、ロールによって権限が付与されたすべての vCenter Server インスタンス
または他の vSphere オブジェクトを表示することができます。それ以降の認証は不要になります。
VMware Cloud on AWS データセンターの管理
VMware, Inc. 40
インストール後、[email protected] ユーザー vCenter Server には、vCenter Single Sign-On と vCenter Server の両方に対する管理者アクセス権が付与されます。このユーザーも vmc.local ドメインで ID ソースを追加
し、デフォルトの ID ソースを設定して、ポリシーを設定できます。vmc.local ドメイン内の特定の管理操作は、
VMware Cloud on AWS の運用担当者に制限されています。
注: vSphere Client から Software-Defined Data Center (SDDC) のパスワードを変更すると、新しいパスワード
とデフォルトの vCenter Server の認証情報ページに表示されるパスワードは同期されません。ページでは、デフォ
ルトの認証情報のみが表示されます。認証情報を変更した場合、新しいパスワードの保管と管理はユーザーの責任と
なります。テクニカル サポートに連絡し、パスワードの変更を要求します。
vCenter Single Sign-On 管理者ユーザー
vCenter Single Sign-On 管理インターフェイスには、vSphere Client または vSphere Web Client のいずれかから
アクセスできます。
vCenter Single Sign-On を設定し、vCenter Single Sign-On ユーザーとグループを管理するには、
[email protected] ユーザーまたは vCenter Single Sign-On 管理者グループのユーザーが vSphere Client にログインする必要があります。認証にあたっては、このユーザーが vSphere Client から vCenter Single Sign-On 管理インターフェイスにアクセスして、ID ソースとデフォルトのドメインを管理し、パスワード ポリシー
を指定するほか、他の管理タスクを実行することができます。
vCenter Single Sign-On による vCenter Server の ID ソース
ID ソースを使用すると、vCenter Single Sign-On に 1 つ以上のドメインを接続できます。ドメインは vCenter Single Sign-On サーバがユーザー認証に使用できるユーザーまたはグループのリポジトリです。
VMware Cloud on AWS では、[email protected] ユーザー、またはクラウド管理者グループに含まれる他の
ユーザーが ID ソースを追加できます。共有の ID ソースを作成することは、ハイブリッド リンク モードを設定する
ための前提条件です。
ユーザーおよびグループのデータは、Active Directory または OpenLDAP に格納されます。最初は、VMware Cloud on AWSSDDC には vmc.local ID ソースが備えられています。
バージョン 5.1 より前の vCenter Server バージョンは、Active Directory およびローカル オペレーティング システ
ムのユーザーをユーザー リポジトリとしてサポートしていました。このため、ローカル オペレーティング システム
のユーザーは常に vCenter Server システムから認証可能でした。vCenter Server バージョン 5.1 およびバージョ
ン 5.5 では、認証に vCenter Single Sign-On を使用します。vCenter Single Sign-On 5.1 がサポートしている ID ソースのリストについては、vSphere 5.1 のドキュメントを参照してください。vCenter Single Sign-On 5.5 は以下
のタイプのユーザー リポジトリを ID ソースとしてサポートしていますが、デフォルトでサポートする ID ソースは 1 つだけです。
n LDAP を用いた Active Directory。vCenter Single Sign-On は LDAP を用いた Active Directory の複数の ID ソースをサポートします。この ID ソース タイプは、vSphere 5.1 に含まれる vCenter Single Sign-On サービ
スとの互換性を維持するためのものです。vSphere Client には、[LDAP サーバとしての Active Directory] とし
て表示されます。
n OpenLDAP バージョン 2.4 以降。vCenter Single Sign-On は複数の OpenLDAP ID ソースをサポートしま
す。vSphere Client には、[OpenLDAP] として表示されます。
VMware Cloud on AWS データセンターの管理
VMware, Inc. 41
n ローカル オペレーティング システム ユーザー。ローカル オペレーティング システム ユーザーは、vCenter Single Sign-On サーバが実行されているオペレーティング システムのローカル ユーザーです。ローカル オペ
レーティング システムの ID ソースは、基本的な vCenter Single Sign-On サーバの展開にのみ使用でき、複数
の vCenter Single Sign-On インスタンスを用いた展開では使用できません。1 つのローカル オペレーティン
グ システム ID ソースのみが許可されます。vSphere Client には、[localos] として表示されます。
注: Platform Services Controller が vCenter Server システムと異なるマシン上に存在する場合は、ローカル
オペレーティング システムのユーザーを使用しないでください。組み込みデプロイでローカル オペレーティン
グ システムのユーザーを使用するのは理にかなっていますが、お勧めしません。
n vCenter Single Sign-On のシステム ユーザー。vCenter Single Sign-On のインストール時に、単一のシステ
ム ID ソースのみが作成されます。
注: いかなる場合でも、デフォルトのドメインは 1 つのみ存在します。ユーザーがデフォルト以外のドメインから
ログインした場合、このユーザーが正常に認証されるためにはドメイン名 (DOMAIN\user) を追加する必要があり
ます。
SDDC LDAP ドメインへの ID ソースの追加
SDDC からハイブリッド リンク モードを設定するための最初のステップは、オンプレミスの LDAP ドメインを
SDDC vCenter Server の ID ソースとして追加することです。
オンプレミス LDAP サービスがネイティブの Active Directory(統合 Windows 認証)ドメインまたは OpenLDAP ディレクトリ サービスによって提供されている場合は、SDDC からハイブリッド リンク モードを設定できます。
重要: OpenLDAP を ID ソースとして使用している場合は、VMware ナレッジベースの記事 (http://kb.vmware.com/kb/2064977) で追加要件を確認してください。
前提条件
ハイブリッド リンク モードの前提条件の共通の前提条件を満たしていることを確認します。
手順
1 SDDC の vSphere Client にログインします。
ID ソースを追加するには、[email protected] またはクラウド管理者グループの別のメンバーとしてログ
インする必要があります。
VMware Cloud on AWS データセンターの管理
VMware, Inc. 42
2 [ID ソースの追加] ダイアログが表示されます。
使用事例 説明
ハイブリッド リンク モード a [メニュー] - [管理] の順に選択します。
b [ハイブリッド クラウド] で、[リンクされたドメイン] を選択します。
c [クラウド管理者の追加] で、[ID ソース] ドロップダウン メニューから [ID ソースの追加] を選択します。
その他のすべての使用事例 a [メニュー] - [管理] の順に選択します。
b [シングル サインオン] で、[構成] をクリックします。
c [ID ソース] をクリックし、[追加] をクリックします。
3 ID ソースの設定を行います。
オプション 説明
ID ソース タイプ Windows Active Directory Server の場合は [LDAP サーバとしての Active Directory] を、
Open LDAP サーバの場合は [Open LDAP] を選択します。
名前 ID ソースの名前を入力します。
ユーザーのベース DN ユーザーのベース識別名を入力します。
グループのベース DN グループのベース識別名を入力します。
ドメイン名 ドメインの FQDN。ここに IP アドレスは入力しないでください。
ドメイン エイリアス ドメインのエイリアスを入力します。
Active Directory の ID ソースの場合、ドメインの NetBIOS 名。SSPI 認証を使用する場合は、
ID ソースの別名として Active Directory ドメインの NetBIOS 名を追加します。
ユーザー名 ユーザーとグループのベース DN に対して、最低限の読み取り専用アクセス権を持つドメイン
内のユーザーの ID を入力します。DN 形式ではなく、UPN 形式(例、[email protected])
を使用します。
パスワード [ユーザー名] で指定したユーザーのパスワードを入力します。
接続先 接続するドメイン コントローラを選択します。
n 任意のドメイン コントローラに接続するには、[ドメイン内の任意のドメイン コントロー
ラ] を選択します。
n ドメイン コントローラを指定するには、[特定のドメイン コントローラ] を選択します。
[特定のドメイン コントローラ] を選択する場合は、プライマリ サーバとフェイルオーバーに使
用するセカンダリ サーバの URL を指定します。ldap://hostname:port または ldaps://hostname:port 形式を使用します。通常のポートは、LDAP 接続では 389、LDAPS 接続では
636 です。Active Directory のマルチドメイン コントローラを展開する場合、通常のポート
は LDAP 接続で 3268、LDAPS 接続で 3269 です。
SSL 証明書 LDAPS 接続を使用する場合は、[参照] を選択し、LDAPS 接続のセキュリティ用にアップロー
ドする証明書ファイルを選択します。
ID ソースを追加すると、オンプレミス ユーザーは、SDDC への認証が可能ですが、[アクセスなし] ロールが付与さ
れます。ユーザーのグループの権限を追加して、クラウド管理者ロールを付与します。
VMware Cloud on AWS データセンターの管理
VMware, Inc. 43
vCenter Single Sign-On ポリシーの管理
vCenter Single Sign-On ポリシーは、導入環境にセキュリティ ルールを適用します。vCenter Single Sign-On のデフォルトのパスワード ポリシー、ロックアウト ポリシー、およびトークン ポリシーは表示および編集できます。
vCenter Single Sign-On のパスワード ポリシーの編集
vCenter Single Sign-On のパスワード ポリシーは、パスワードの形式と有効期限を決定します。パスワード ポリシ
ーは vCenter Single Sign-On ドメイン (vvmc.local) 内のユーザーにのみ適用されます。
手順
1 vSphere Client で [メニュー] - [管理] の順に選択します。
2 [Single Sign-On] で [構成] をクリックし、[ポリシー] をクリックします。
3 [パスワード ポリシー] を選択して、[編集] をクリックし、必要に応じて変更します。
オプション 説明
説明 パスワード ポリシーの説明。
最長有効期間 ユーザーが変更するまでのパスワードの最大有効期間。
再利用を制限 再利用できない過去に設定したパスワードの数。たとえば 6 と入力すると、ユーザーは過去に
使用した直近 6 つのいずれのパスワードも再利用できません。
最大長 パスワードで使用できる最大文字数。
最小長 パスワードに必要な最小文字数。最小長は、アルファベット、数字、および特殊文字の最小要
件を組み合わせた文字数以上であることが必要です。
文字要件 パスワードに必要なさまざまな文字タイプの最小数。各タイプの文字の数は、次のように指定
できます。
n 特殊: & # %
n アルファベット: A b c D
n 大文字: A B C
n 小文字: a b c
n 数字: 1 2 3
アルファベット文字の最小数は、大文字および小文字で指定した数の合計以上にする必要があ
ります。
隣接した同一文字 パスワードで使用できる隣接した同一文字の最大数。たとえば 1 と入力すると、「p@$$word」というパスワードは許可されません。
値は 0 より大きくする必要があります。
4 [OK] をクリックします。
vCenter Single Sign-On のロックアウト ポリシーの編集
vCenter Single Sign-On ロックアウト ポリシーは、ユーザーが不正な認証情報でログインを試みたときにユーザー
の vCenter Single Sign-On アカウントがロックされる条件を指定します。管理者はロックアウト ポリシーを編集
できます。
VMware Cloud on AWS データセンターの管理
VMware, Inc. 44
ユーザーが vmc.local に誤ったパスワードで何度もログインした場合、そのユーザーはロックアウトされます。ロッ
クアウト ポリシーでは、管理者はログイン試行の失敗の最大回数と、ロックが解除されるまでの時間を設定できま
す。このポリシーは、アカウントが自動的にロック解除されるまでの時間も指定できます。
手順
1 vSphere Client で [メニュー] - [管理] の順に選択します。
2 [Single Sign-On] で [構成] をクリックし、[ポリシー] をクリックします。
3 [ロックアウト ポリシー] を選択して、[編集] をクリックし、必要に応じて変更します。
オプション 説明
[説明] ロックアウト ポリシーの説明(オプション)。
[ログイン試行失敗の最大回数] アカウントがロックアウトされるまでのログイン試行失敗が許可される最大回数。
[ロックが解除されるまでの時間] ロックアウトをトリガするための失敗したログイン試行間の時間。
[ロック解除時間] アカウントがロックされ続けている時間。0 を入力すると、管理者は明示的にアカウントをロ
ック解除しなければなりません。
4 [OK] をクリックします。
vCenter Single Sign-On のトークン ポリシーの編集
vCenter Single Sign-On トークン ポリシーには、クロック トレランス、更新数などのトークンのプロパティを指定
します。トークンの仕様が企業のセキュリティ標準に準拠するように、トークン ポリシーを編集できます。
手順
1 vSphere Client で [メニュー] - [管理] の順に選択します。
2 [Single Sign-On] で [構成] をクリックし、[ポリシー] をクリックします。
3 [トークン ポリシー] を選択して、[編集] をクリックし、必要に応じて変更します。
オプション 説明
クロック トレランス vCenter Single Sign-On が許容するクライアント クロックとドメイン コントローラ クロッ
ク間のミリ秒単位の時差。時差が指定値を上回る場合、vCenter Single Sign-On により、ト
ークンが無効であることが宣言されます。
トークンの最大更新数 トークンが更新できる最大回数です。更新の試行が最大回数を超えると、新しいセキュリティ
トークンが必要になります。
トークン最大委任数 キーホルダ トークンは、vSphere 環境のサービスに委任できます。委任されたトークンを使
用するサービスは、トークンを提供したプリンシパルの代わりにサービスを実行します。トー
クン要求は、DelegateTo ID を指定します。DelegateTo 値は、ソリューション トークンま
たはソリューション トークンへのリファレンスにすることができます。この値では、1 つのキ
ーホルダ トークンを委任できる回数を指定します。
VMware Cloud on AWS データセンターの管理
VMware, Inc. 45
オプション 説明
ベアラ トークンの最長有効期間 ベアラ トークンは、トークンの所有のみに基づいて認証を実行します。ベアラ トークンは、短
期的な 1 回限りの操作の時に使用します。ベアラ トークンは、要求を送信しているユーザーま
たはエンティティの ID 確認は行いません。この値では、ベアラ トークンを再発行するまでの
有効期間の値を指定します。
キーホルダ トークンの最長有効期間 キーホルダ トークンは、トークンに組み込まれたセキュリティ製造物に基づいて認証を行いま
す。キーホルダ トークンは委任用に使用できます。クライアントはキーホルダ トークンを取
得して、そのトークンを別のエンティティに委任できます。トークンには、委任元と委任先を
識別するための請求権が含まれています。vSphere 環境で、vCenter Server システムはユー
ザーの代わりに委任済みトークンを取得し、これらのトークンを使用して処理を実行します。
この値によって、キーホルダ トークンが無効とマークされるまでの有効期間が決まります。
4 [OK] をクリックします。
VMware Cloud on AWS データセンターの管理
VMware, Inc. 46
vCenter Server システムのセキュリティ 5オンプレミス SDDC では、お客様が vCenter Server システムのセキュリティ対策を行う必要があります。VMware Cloud on AWS では、VMware がセキュリティ関連のタスクのほとんどを行います。
特にお客様の環境内の仮想マシンに関しては、お客様がセキュリティのベスト プラクティスを導入する必要がありま
す。パスワード ポリシーやロックアウト ポリシーなど、vCenter Server と vCenter Single Sign-On の他の側面に
ついても留意することをお勧めします。
この章には、次のトピックが含まれています。
n セキュリティのベスト プラクティスおよびリソース
n vSphere 環境のパスワード
n vCenter Server アクセス コントロールのベスト プラクティス
n vCenter のパスワード要件とロックアウト動作
セキュリティのベスト プラクティスおよびリソース
ベスト プラクティスに従うと、ESXi および vCenter Server は、仮想化を行っていない環境と同等またはそれ以上の
セキュリティを実現できます。
このマニュアルでは、vSphere インフラストラクチャのさまざまなコンポーネントに関するベスト プラクティスに
ついて説明しています。
表 5-1. セキュリティのベスト プラクティス
vSphere コンポーネント リソース
ESXi ホスト ESXi ホストのセキュリティ強化
vCenter Server システム vCenter Server のセキュリティのベスト プラクティス
仮想マシン 仮想マシンのセキュリティのベスト プラクティス
vSphere のネットワーク vSphere ネットワークのセキュリティのベスト プラクティス
本書は、セキュアな環境の確保に使用する必要な情報の 1 つに過ぎません。
VMware セキュリティ リソース(セキュリティ関連の警告やダウンロードを含む)は次の Web サイトで入手できま
す。
VMware, Inc. 47
表 5-2. Web 上のヴイエムウェア セキュリティ リソース
テクニカル ノート リソース
安全な構成とハイパーバイザーのセキュリティなど、ESXi および vCenter Server のセキュリティと運用に関する情
報を提供します。
https://vspherecentral.vmware.com/t/security/
VMware のセキュリティ ポリシー、最新バージョンのセキ
ュリティ アラート、セキュリティ ダウンロード、セキュリ
ティ トピックを中心とした説明
http://www.vmware.com/go/security
企業セキュリティ対策ポリシー http://www.vmware.com/support/policies/security_response.html
当社は、お客様がセキュアな環境を維持するために尽力します。セキュリティ上の問題
は迅速に解決します。ヴイエムウェア セキュリティ対策ポリシーでは、当社製品におい
て起こりうる脆弱性を解決するための、当社の取り組みを文書化しています。
サードパーティのソフトウェア サポート ポリシー http://www.vmware.com/support/policies/
VMware 製品では、さまざまなストレージ システム、バックアップ エージェントなど
のソフトウェア エージェント、システム管理エージェントなどをサポートしています。
ESXi をサポートするエージェント、ツール、およびその他のソフトウェアのリストにつ
いては、http://www.vmware.com/vmtn/resources/ で ESXi の互換性ガイドを参
照してください。
業界には、当社が検証しきれない多くの製品や構成が提供されています。互換性ガイド
に製品や構成が掲載されていない場合、テクニカル サポートは、お客様の問題解決のお
手伝いを致しますが、その製品または構成が使用可能かどうかは保証できません。常に、
サポートされていない製品や構成のセキュリティ リスクについては注意して評価して
ください。
コンプライアンスとセキュリティ標準、および仮想化とコ
ンプライアンスに関するパートナーのソリューションと詳
細なコンテンツ
http://www.vmware.com/go/compliance
異なるバージョンの vSphere コンポーネントの、CCEVS や FIPS のようなセキュリティ認証と検証についての情報。
https://www.vmware.com/support/support-resources/certifications.html
vSphere などの VMware 製品の各バージョンのセキュリ
ティ構成ガイド(旧称「セキュリティ強化ガイド」)。
https://www.vmware.com/support/support-resources/hardening-guides.html
『Security of the VMware vSphere Hypervisor』ホワイ
ト ペーパー
http://www.vmware.com/files/pdf/techpaper/vmw-wp-secrty-vsphr-hyprvsr-uslet-101.pdf
vSphere 環境のパスワード
vSphere 環境のパスワードの制限、パスワードの有効期限、およびアカウントのロックアウトは、ユーザーがターゲ
ットとするシステム、ユーザーの種類、およびポリシーの設定方法によって決まります。
ESXi のパスワード
ESXi パスワードの制限は、Linux PAM モジュール pam_passwdqc によって決まります。pam_passwdqc について
は Linux の man ページを参照し、#unique_42 を参照してください。
VMware Cloud on AWS データセンターの管理
VMware, Inc. 48
vCenter Server サービスとその他の vCenter Server サービスのパスワード
vCenter Single Sign-On で、vCenter Server サービスとその他の vCenter Server サービスにログインするすべて
のユーザーに対する認証を管理します。パスワードの制限、パスワードの有効期限、およびアカウントのロックアウ
トは、ユーザーのドメインとそのユーザーがどのようなユーザーかによって決まります。
vCenter Single Sign-On 管理者
[email protected] ユーザー(インストール中に別のドメインを選択し
た場合は、administrator@mydomain ユーザー)のパスワードには、有効期限が
なく、ロックアウト ポリシーの対象にはなりません。その他の点について、このパ
スワードは vCenter Single Sign-On パスワード ポリシーに設定されている制限
に従う必要があります。詳細については、Platform Services Controller の管理を
参照してください。
このユーザーのパスワードを忘れた場合は、パスワードのリセットに関する情報を
VMware ナレッジベースの記事で検索してください。リセットには、vCenter Server システムへの root アクセスなどその他の権限が必要です。
vCenter Single Sign-On ドメインの他のユーザー
その他の vsphere.local ユーザー、またはインストール中に指定したドメインのユ
ーザーのパスワードは、vCenter Single Sign-On のパスワード ポリシーとロック
アウト ポリシーに設定された制限を守る必要があります。詳細については、
Platform Services Controller の管理を参照してください。これらのユーザーのパ
スワードの有効期限は、デフォルトでは 90 日後に切れますが、パスワード ポリシ
ーの一環として管理者はこの期限を変更できます。
ユーザーが自分の vsphere.local パスワードを忘れた場合は、管理者ユーザーが
dir-cli コマンドを使用してパスワードをリセットできます。
その他のユーザー その他すべてのユーザーのパスワードの制限、パスワードの有効期限、およびアカ
ウントのロックアウトは、ユーザーが認証できるドメイン(アイデンティティ ソー
ス)によって決まります。
vCenter Single Sign-On では、1 つのデフォルト アイデンティティ ソースがサポ
ートされます。ユーザーは自分のユーザー名のみを使用して vSphere Client で対
応するドメインにログインできます。デフォルト以外のドメインにログインする場
合は、user@domain または domain\user のように指定して、ドメイン名を含め
ることができます。ドメイン パスワード パラメータは、各ドメインに対して適用さ
れます。
vCenter Server Appliance ダイレクト コンソール ユーザー インターフェイス ユーザーのパスワード
vCenter Server Appliance は事前に構成された Linux ベースの仮想マシンであり、Linux 上で vCenter Server および関連サービスを実行するために最適化されています。
vCenter Server Appliance をデプロイするときに、これらのパスワードを指定します。
n アプライアンスの Linux オペレーティング システムの root ユーザーのパスワード。
n vCenter Single Sign-On ドメインの管理者のパスワード。デフォルトは [email protected] で
す。
VMware Cloud on AWS データセンターの管理
VMware, Inc. 49
アプライアンス コンソールから、root ユーザーのパスワードの変更と、その他の vCenter Server Appliance ロー
カル ユーザー管理タスクを実行できます。vCenter Server Appliance の構成 を参照してください。
vCenter Server アクセス コントロールのベスト プラクティス
システムのセキュリティを強化するには、さまざまな vCenter Server コンポーネントへのアクセスを厳密に管理し
ます。
次のガイドラインは、ご使用の環境のセキュリティを確保するのに役立ちます。
特定のアカウントの使用
vCenter Server システムへの接続時に、アプリケーションが一意のサービス アカウントを使用するようにしてくだ
さい。
アクセスの抑制
ユーザーが直接 vCenter Server ホスト マシンにログインできないようにします。vCenter Server ホスト マシンに
ログインしたユーザーが設定やプロセスの変更を行うことで、意図的または無意識に悪影響を及ぼす可能性がありま
す。これらのユーザーが、SSL 証明書などの vCenter の認証情報にアクセスする可能性もあります。正当なタスクを
実行するユーザーにのみシステムへのログインを許可し、ログイン イベントを確実に監査します。
ユーザーによる仮想マシンでのコマンドの実行を制限
vCenter Server 管理者ロールのユーザーは、デフォルトで、仮想マシンのゲスト OS 内のファイルおよびプログラム
を操作できます。ゲストの機密性、可用性、または整合性が損なわれるリスクを軽減するため、ゲスト操作 権限を持
たない、カスタムの非ゲスト アクセス ロールを作成します。
高い RDP 暗号化レベルの使用
インフラストラクチャ内の各 Windows コンピュータで、リモート デスクトップ ホスト構成の各設定値を確実に設
定し、環境に適した最高レベルの暗号化が確保されていることを確認します。
vSphere Client 証明書の確認
vSphere Client または他のクライアント アプリケーションのいずれかを使用しているユーザーに、証明書検証の警
告は決して無視しないように指導してください。証明書を検証しないでいると、ユーザーは MiTM 攻撃の対象となる
可能性があります。
vCenter のパスワード要件とロックアウト動作
vSphere 環境を管理するには、vCenter Single Sign-On のパスワード ポリシー、vCenter Server のパスワード、
およびロックアウト動作について理解しておく必要があります。
VMware Cloud on AWS データセンターの管理
VMware, Inc. 50
vCenter Single Sign-On の管理者パスワード
デフォルトで [email protected] である vCenter Single Sign-On 管理者のパスワードは、vCenter Single Sign-On パスワード ポリシーによって指定されます。デフォルトでは、このパスワードは次の要件を満たす
必要があります。
n 8 文字以上
n 小文字が 1 文字以上
n 数字が 1 文字以上
n 特殊文字を 1 つ以上含める
このユーザーのパスワードの長さは 20 文字までです。vSphere 6.0 以降、非 ASCII 文字は使用できません。
vCenter Server のパスワード
vCenter Server では、パスワード要件は vCenter Single Sign-On、または Active Directory、OpenLDAP などの
構成済み ID ソースによって決定されます。
vCenter Single Sign-On のロックアウト動作
連続した失敗の数が事前設定された回数に達すると、ユーザーはロックアウトされます。デフォルトでは、3 分間に
連続して 5 回失敗するとユーザーはロックアウトされ、5 分後にロックアウトは自動的に解除されます。
vSphere 6.0 以降、vCenter Single Sign-On ドメイン管理者(デフォルトでは [email protected])は
ロックアウト ポリシーの影響を受けません。ユーザーはパスワード ポリシーの影響を受けます。
VMware Cloud on AWS データセンターの管理
VMware, Inc. 51
vSphere のアクセス許可とユーザー管理タスク 6アクセスは認証と認可によって制御されます。vCenter Single Sign-On は認証をサポートします。すなわち、ユー
ザーが vSphere コンポーネントにアクセスできるかどうかを全面的に決定します。各ユーザーは vSphere オブジ
ェクトを表示または操作する際にも認証が必要です。
vSphere では、さまざまな認証メカニズムがサポートされています。詳細は、vSphere での承認についてを参照し
てください。このセクションでは、vCenter Server のアクセス許可モデルの仕組みとユーザー管理タスクの実行方法
に焦点を絞って説明します。
vCenter Server では、権限とロールを使用したきめ細かい認証が可能です。vCenter Server オブジェクト階層内の
オブジェクトにアクセス許可を設定する際には、ユーザーまたはグループがそのオブジェクト対して所有する権限を
指定します。権限を指定するには、ロール、すなわち権限のセットを使用します。
初期状態で vCenter Server システムにログオンできるのは、vCenter Single Sign-On ドメイン管理者だけです。こ
のユーザーは、デフォルトでは [email protected] です。ログイン権限を与えられた
[email protected] は、以下の手順を実行します。
1 ユーザーおよびグループが定義されたアイデンティティ ソースを vCenter Single Sign-On に追加します。
『Platform Services Controller の管理』ドキュメントを参照してください。
2 ユーザーまたはグループに権限を付与します。具体的には、仮想マシンまたは vCenter Server システムなどの
オブジェクトを選択し、そのオブジェクトに対するロールをユーザまたはグループに割り当てます。
vSphere Client を使用したロールと権限の割り当て
(http://link.brightcove.com/services/player/bcpid2296383276001?bctid=ref:video_vsphere67_roles)
この章には、次のトピックが含まれています。
n vSphere での承認について
n アクセス許可と権限の表示
n vCenter コンポーネントの権限の管理
n グローバル権限
n vCenter Server システム ロール
n ロールと権限のベスト プラクティス
n CloudAdmin 権限
VMware, Inc. 52
vSphere での承認について
vSphere は、ユーザーにタスクの実行を許可するかどうかを詳細に制御できるさまざまなモデルに対応しています。
vCenter Single Sign-On では、vCenter Single Sign-On グループのメンバーシップを使用して、ユーザーにタスク
の実行を許可するかどうかを指定できます。オブジェクトに対するロールまたはグローバル権限によって、vSphere で他のタスクの実行を許可するかどうかを指定します。
権限の概要
vSphere 6.0 以降では、権限を持つユーザーが他のユーザーにタスクを実行する権限を付与できます。グローバル権
限またはローカルの vCenter Server 権限を使用して、それぞれの vCenter Server インスタンスに対して他のユーザ
ーを認証できます。
vCenter Server のアクセス
許可
vCenter Server システムの権限モデルは、オブジェクト階層内のオブジェクトに権
限を割り当てることによって成立しています。各権限によって、1 人のユーザーま
たは 1 つのグループに権限のセット、すなわち、選択したオブジェクトのロールが
付与されます。たとえば、仮想マシンを選択して [権限の追加] を選択し、選択した
ドメインのユーザーのグループにロールを割り当てることができます。このロール
では、その仮想マシン上で対応する権限をユーザーに付与します。
グローバル権限 グローバル権限は、複数のソリューションに対応するグローバル ルート オブジェク
トに適用されます。たとえば、vCenter Server と vRealize Orchestrator の両方が
インストールされている場合は、グローバル権限を使用できます。または、両方の
オブジェクト階層内のすべてのオブジェクトに対する読み取り権限を、ユーザーの
グループに付与できます。
環境にオンプレミスの vCenter Server およびクラウドの vCenter Server が含ま
れる場合は、グローバル権限は複製されません。
vCenter Single Sign-On グループのグループ メンバ
ーシップ
VMware Cloud on AWS の場合、クラウド管理者グループが vCenter Single Sign-On で事前に定義されています。ハイブリッド リンク モードを使用する場合
は、リンクされたドメインにこのグループを追加します。
オブジェクト レベルの権限モデルについて
ユーザーまたはグループが vCenter Server オブジェクトに対してタスクを実行することを許可するには、オブジェ
クトに対する権限を使用します。vSphere のアクセス許可モデルは、vSphere オブジェクト階層内のオブジェクト
にアクセス許可を割り当てることによって成立しています。各アクセス許可によって、1 人のユーザーまたは 1 つの
グループに権限のセット、すなわち、選択したオブジェクトのロールが付与されます。たとえば、ユーザーのグルー
プが、1 台の仮想マシンでは読み取り専用ロールを、もう 1 台の仮想マシンでは管理者ロールを付与されているよう
な場合です。
VMware Cloud on AWS データセンターの管理
VMware, Inc. 53
以下の概念が重要です。
権限 vCenter Server オブジェクト階層内のオブジェクトは、それぞれが関連する権限を
持ちます。各権限は、そのオブジェクトに対する権限をグループまたはユーザーご
とに指定します。
ユーザーとグループ vCenter Server システムでは、認証されたユーザーまたはユーザー グループに対
してのみ権限を付与することができます。ユーザーは vCenter Single Sign-On を介して認証されます。ユーザーとグループは、vCenter Single Sign-On での認証
に使用する ID ソースで定義されている必要があります。ID ソースで Active Directory などののツールを使用して、ユーザーとグループを定義します。
権限 権限とは、細かな設定が可能なアクセス制御です。これらの権限をロールとしてグ
ループ化し、ユーザーやグループにマッピングできます。
ロール ロールは権限のセットです。ロールにより、ユーザーが実行する標準的なタスク ベースのオブジェクトに、権限を割り当てることができます。管理者などのデフォル
ト ロールは vCenter Server で事前に定義されており、変更できません。リソース
プール管理者などのその他のロールは、事前定義されたサンプル ロールです。カス
タム ロールは、一から作成するか、サンプル ロールをクローン作成し、変更するこ
とで作成できます。カスタム ロールの作成を参照してください。
図 6-1. vSphere の権限
アクセス許可
vSphere オブジェクト
ユーザーまたはグループ
ロール
権限
権限
権限
権限
アクセス許可をオブジェクトに割り当てるには、次の手順に従います。
1 権限を適用するオブジェクトを、vCenter オブジェクト階層の中で選択します。
VMware Cloud on AWS では、たとえば vCenter Server インスタンスや ESXi ホストなど、VMware が管理す
るオブジェクトに対するアクセス許可は変更できません。
2 そのオブジェクトに対するアクセス許可を必要とするグループまたはユーザーを選択します。
3 グループまたはユーザーがオブジェクトに対して持つ必要がある個別の権限、または権限のセットであるロール
を選択します。
VMware Cloud on AWS データセンターの管理
VMware, Inc. 54
デフォルトでは、アクセス許可は伝播されます。つまり、グループまたはユーザーには、選択したオブジェクト
およびその子オブジェクトに対して、選択したロールが割り当てられます。
vCenter Server では、よく使用される権限セットを組み合わせた定義済みのロールが提供されます。また、一連のロ
ールを組み合わせて、カスタム ロールを作成することもできます。
アクセス許可をソース オブジェクトとターゲット オブジェクトの両方で定義することが必要な場合があります。た
とえば、仮想マシンを移動する場合、その仮想マシンに対する権限が必要ですが、ターゲットのデータセンターに対
する権限も必要になります。
次の情報を参照してください。
目的の情報 参照先
カスタム ロールの作成 カスタム ロールの作成
すべての権限と、各権限を適用できるオブジェクト 事前定義された権限
さまざまなオブジェクトでさまざまなタスク向けに必要な権限のセット 一般的なタスクに必要な権限
vCenter Server のユーザー検証
ディレクトリ サービスを使用している vCenter Server システムは、ユーザー ディレクトリのドメインに対するユー
ザーとグループの検証を定期的に行います。vCenter Server の設定で指定された定期的な間隔で検証が実行されま
す。たとえば、いくつかのオブジェクトに対するロールを Smith というユーザーに割り当てたとします。ドメイン管
理者が名前を Smith2 に変更します。ホストでは、Smith は存在しなくなったと判断され、このユーザーに関する権
限は次回の検証時に vSphere オブジェクトから削除されます。
同様に、Smith というユーザーがドメインから削除された場合、次回の検証時に、Smith に関連付けられたすべての
アクセス許可が削除されます。次回の検証前に Smith という新しいユーザーがドメインに追加された場合、すべての
オブジェクトに対するアクセス許可において、古いユーザーの Smith が新しいユーザーの Smith で置換されます。
アクセス許可と権限の表示
階層内の各オブジェクトに対し、vSphere Client を使用して CloudAdmin ロールや、その他の事前定義済みロー
ル、またはカスタム ロールのユーザーに付与された権限を確認することができます。
手順
1 オブジェクト階層内でリソース プールや仮想マシンなどのオブジェクトを選択し、[権限] をクリックします。
2 さらに、各グループに関連付けられている権限も表示できます。
a vSphere Client のホーム ページで、[管理] をクリックします。
b [アクセス コントロール] で [ロール] をクリックします。
c ロール名をクリックします([CloudAdmin] など)。
d 右側の [権限] タブをクリックします。
リストをスクロールして選択したロールに付与された権限を確認できます。すべての vSphere 権限の詳細なリスト
については、定義された権限を参照してください。
VMware Cloud on AWS データセンターの管理
VMware, Inc. 55
vCenter コンポーネントの権限の管理
権限は、vCenter オブジェクト階層内のオブジェクトに設定されます。各権限によって、グループまたはユーザー、
およびグループまたはユーザーのアクセス ロールがオブジェクトに関連付けられます。たとえば、仮想マシン オブ
ジェクトを選択し、グループ 1 に読み取り専用ロールを与える権限を追加し、ユーザー 2 に管理者ロールを与える別
の権限を追加できます。
異なるオブジェクトのユーザーのグループに異なるロールを割り当てることにより、それらのユーザーが vSphere 環境で実行できるタスクを制御します。たとえば、グループがホストのメモリを構成できるようにするには、ホスト
を選択し、ホスト.構成.メモリ構成特権を含むロールをグループに付与する権限を追加します。
vSphere Client から権限を管理するには、次の概念を理解する必要があります。
権限 vCenter Server オブジェクト階層内のオブジェクトは、それぞれが関連する権限を
持ちます。各権限は、そのオブジェクトに対する権限をグループまたはユーザーご
とに指定します。
ユーザーとグループ vCenter Server システムでは、認証されたユーザーまたはユーザー グループに対
してのみ権限を付与することができます。ユーザーは vCenter Single Sign-On を介して認証されます。ユーザーとグループは、vCenter Single Sign-On での認証
に使用する ID ソースで定義されている必要があります。ID ソースで Active Directory などののツールを使用して、ユーザーとグループを定義します。
権限 権限とは、細かな設定が可能なアクセス制御です。これらの権限をロールとしてグ
ループ化し、ユーザーやグループにマッピングできます。
ロール ロールは権限のセットです。ロールにより、ユーザーが実行する標準的なタスク ベースのオブジェクトに、権限を割り当てることができます。管理者などのデフォル
ト ロールは vCenter Server で事前に定義されており、変更できません。リソース
プール管理者などのその他のロールは、事前定義されたサンプル ロールです。カス
タム ロールは、一から作成するか、サンプル ロールをクローン作成し、変更するこ
とで作成できます。カスタム ロールの作成を参照してください。
権限は、階層内のさまざまなレベルのオブジェクトに設定できます。たとえば、ホスト オブジェクトや、すべてのホ
スト オブジェクトが格納されたフォルダ オブジェクトに権限を設定できます。権限の階層的な継承 を参照してくだ
さい。また、グローバル ルート オブジェクトに権限を設定することで、すべてのソリューションのあらゆるオブジ
ェクトに権限を適用できます。「グローバル権限」を参照してください。
インベントリ オブジェクトへの権限の追加
ユーザーおよびグループを作成し、ロールを定義したあと、関連するインベントリ オブジェクトにユーザーとグルー
プおよびこれらのロールを割り当てる必要があります。オブジェクトをフォルダに移動し、そのフォルダに権限を設
定することで、複数のオブジェクトに同じ権限を同時に割り当てることができます。
権限を割り当てるには、ユーザー名とグループ名が、大文字小文字の区別も含め、Active Directory の設定と厳密に
一致している必要があります。古いバージョンの vSphere からアップグレードする際にグループに問題が発生する
場合は、大文字と小文字の整合性をチェックしてください。
VMware Cloud on AWS データセンターの管理
VMware, Inc. 56
前提条件
オブジェクトの権限を変更するには、権限.権限の変更 権限を含むロールが必要です。
手順
1 vSphere Client オブジェクト ナビゲータで、権限の割り当て先オブジェクトを探します。
2 [権限] タブをクリックします。
3 [権限の追加] アイコンをクリックします。
4 選択したロールに定義された権限を付与するユーザーまたはグループを選択します。
a [ユーザー] ドロップダウン メニューから、ユーザーまたはグループのドメインを選択します。
b [検索] ボックスに名前を入力します。
ユーザー名およびグループ名が検索されます。
c ユーザーまたはグループを選択します。
5 [ロール] ドロップダウン メニューからロールを選択します。
6 (オプション) 権限を伝達するには、[子へ伝達] チェック ボックスを選択します。
ロールは選択したオブジェクトにのみ適用され、子オブジェクトに伝達されます。
7 [OK] をクリックして権限を追加します。
権限の変更または削除
インベントリ オブジェクトにユーザーまたはグループとロールとのペアを設定したあとで、ユーザーまたはグループ
に組み合わせたロールの変更、または [子へ伝達] チェック ボックスの設定変更ができます。権限の設定を削除するこ
ともできます。
手順
1 vSphere Client オブジェクト ナビゲータで、オブジェクトを参照して移動します。
2 [権限] タブをクリックします。
3 行をクリックして権限を選択します。
タスク 手順
権限の変更 a [ロールの変更] アイコンをクリックします。
b [ロール] ドロップダウン メニューでユーザーまたはグループのロールを選択します。
c [子へ伝達] チェック ボックスを切り替えて、権限の継承を変更します。
d [OK] をクリックします。
権限の削除 [権限の削除] アイコンをクリックします。
ユーザー検証設定の変更
vCenter Server は、ユーザー ディレクトリでユーザーおよびグループと比較して、ユーザーおよびグループのリス
トを定期的に検証します。そのあとで、ドメインに存在しなくなったユーザーまたはグループを削除します。検証を
VMware Cloud on AWS データセンターの管理
VMware, Inc. 57
無効にしたり、検証の間隔を変更したりできます。ドメインに数千のユーザーまたはグループが含まれている場合、
または検索に長時間かかる場合は、検索設定を調整することを検討してください。
注: この手順は、vCenter Server のユーザー リストのみに該当します。同じ方法で ESXi のユーザー リストを検索
することはできません。
手順
1 vSphere Client オブジェクト ナビゲータで、vCenter Server システムを参照して移動します。
2 [設定] を選択して、[設定] - [全般] の順にクリックします。
3 [編集] をクリックし、[ユーザー ディレクトリ] を選択します。
4 必要に応じて値を変更し、[保存] をクリックします。
オプション 説明
ユーザー ディレクトリのタイムアウト Active Directory サーバーへの接続タイムアウト間隔(秒)。この値により、選択されたドメ
インでの検索のために vCenter Server で許容される最大時間を指定します。大規模なドメイ
ンの検索は、時間がかかる可能性があります。
クエリ制限 vCenter Server が表示するユーザーおよびグループの最大数を設定する場合は有効に切り替
えます。
クエリ制限サイズ vCenter Server が、[ユーザーまたはグループの選択] ダイアログ ボックスで選択したドメイ
ンから表示するユーザーおよびグループの最大数。「0」 を入力すると、ユーザーおよびグルー
プがすべて表示されます。
検証 検証を無効にする場合は無効に切り替えます。
検証期間 vCenter Server で権限を検証する頻度を分単位で指定します。
グローバル権限
グローバル権限は、複数のソリューションに対応するグローバル ルート オブジェクトに適用されます。オンプレミ
ス SDDC では、グローバル権限が vCenter Server と vRealize Orchestrator の両方にまたがる場合があります。た
だし vSphere SDDC の場合、グローバル権限は、タグやコンテンツ ライブラリなどのグローバル オブジェクトに適
用されます。
ユーザーまたはグループにグローバル権限を割り当て、ユーザーまたはグループごとにロールを決定することができ
ます。ロールによって、ユーザーまたはグループが階層内のすべてのオブジェクトに対して持つ権限のセットが決ま
ります。事前定義されたロールを割り当てるか、カスタム ロールを作成することができます。#unique_53 を参照し
てください。
VMware Cloud on AWS データセンターの管理
VMware, Inc. 58
vCenter Server のアクセス許可とグローバル権限を区別することは重要です。
vCenter Server のアクセス
許可
通常は、仮想マシンなどの vCenter Server インベントリ オブジェクトに権限を適
用します。適用する際は、ユーザーまたはグループにオブジェクトのロール(権限
の集合)を指定します。
グローバル権限 グローバル権限では、ユーザーまたはグループに、デプロイの各インベントリ階層
にあるすべてのオブジェクトを表示または管理する権限が与えられます。グローバ
ル権限は、タグやコンテンツ ライブラリなどのグローバル オブジェクトにも適用さ
れます。タグ オブジェクトに対する権限を参照してください。グローバル権限は、
VMware によって管理される SDDC ホストやデータストアなどのオブジェクトに
は適用されません。
グローバル権限を割り当てて [伝達] を選択しない場合、この権限に関連付けられた
ユーザーまたはグループは、階層内のオブジェクトにアクセスできません。これら
のユーザーまたはグループは、ロールの作成などの一部のグローバル機能へのアク
セス権のみを持ちます。
重要: グローバル権限は慎重に使用してくだい。すべてのインベントリ階層にあるすべてのオブジェクトに対して
権限を割り当てる必要が本当にあるかどうか確認してください。
vCenter Server システム ロール
ロールとは、事前に定義された権限セットです。オブジェクトにアクセス許可を追加すると、ユーザー(またはグル
ープ)とロールのペアが形成されます。vCenter Server には、いくつかのシステム ロールが定義されています。ユ
ーザーがシステム ロールを変更することはできません。
vCenter Server には、いくつかのデフォルト ロールが用意されています。デフォルト ロールに関連付けられた権限
を変更することはできません。デフォルト ロールは階層のように編成され、各ロールは上位のロールの権限を継承し
ます。たとえば、システム管理者ロールは読み取り専用ロールの権限を引き継ぎます。
vCenter Server のロール階層にはサンプル ロールもいくつか含まれています。サンプル ロールのクローンを作成
すれば同様のロールを作成できます。
CloudAdmin ロール CloudAdmin ロールには、SDDC でワークロードの作成と管理を行うために必要な
権限が付与されています。ただし、ホスト、クラスタ、管理仮想マシンなど、VMware によってサポートされ管理される特定の管理コンポーネントへのアクセスや設定は
許可されません。
CloudGlobalAdmin ロー
ル
CloudAdmin ロールに付与された権限のサブセットを持つ CoudGlobalAdmin ロールは、SDDC バージョン 1.7 で廃止されます。
管理者ロール オブジェクトの管理者ロールが割り当てられているユーザーは、オブジェクトのす
べてのアクションを表示および実行できます。このロールには、読み取り専用ロー
ルのすべての権限も含まれます。オブジェクトに対する管理者ロールを付与された
ユーザーは、個々のユーザーおよびグループに権限を割り当てることができます。
VMware Cloud on AWS データセンターの管理
VMware, Inc. 59
vCenter Server で管理者ロールを持つユーザーは、デフォルトの vCenter Single Sign-On アイデンティティ ソース内のユーザーおよびグループに権限を割り当て
ることができます。サポートされている ID サービスには、Windows Active Directory や OpenLDAP 2.4 などがあります。
デフォルトでは、インストール後、[email protected] ユーザーに、
vCenter Single Sign-On と vCenter Server の両方の管理者ロールが割り当てら
れます。この [email protected] ユーザーによって、他のユーザーに
vCenter Server の管理者ロールが割り当てられます。
読み取り専用ロール オブジェクトに対する読み取り専用ロールが割り当てられているユーザーは、オブ
ジェクトの状態および詳細を表示できます。たとえば、このロールを持つユーザー
は、仮想マシン、ホスト、およびリソース プールの属性を表示できますが、ホスト
のリモート コンソールを表示することはできません。メニューおよびツールバー
のすべてのアクションは無効になります。
アクセスなしロール オブジェクトに対するアクセスなしロールが割り当てられているユーザーは、オブ
ジェクトを表示または変更できません。新しいユーザーとグループには、デフォル
トでこのロールが割り当てられます。ロールは、オブジェクトごとに変更できます。
vCenter Single Sign-On ドメインの管理者(デフォルトで
[email protected])、root ユーザー、および vpxuser には、デフォル
トで管理者ロールが割り当てられます。その他のユーザーには、デフォルトでアク
セスなしロールが割り当てられます。
暗号化なし管理者ロール オブジェクトに対する暗号化なし管理者ロールが割り当てられているユーザーは、
暗号化操作権限を除き、管理者ロールが割り当てられているユーザーと同じ権限を
持ちます。このロールにより、管理者は、仮想マシンの暗号化または復号化や暗号
データへのアクセス以外のすべての管理タスクを実行できる他の管理者を指定でき
ます。
ロールと権限のベスト プラクティス
vCenter Server 環境のセキュリティと管理性を最大にするため、ロールと権限のベスト プラクティスを実行します。
vCenter Server 環境のロールと権限を構成するときは、次のベスト プラクティスが推奨されます。
n 可能であれば、個々のユーザーではなく、グループにロールを割り当てます。
n アクセス許可が必要なオブジェクトにのみアクセス許可を付与し、権限が持つ必要があるユーザーまたはグルー
プに対してのみ権限を割り当てます。使用する権限の数を最小限にすることで、権限構造が分かりやすくなり、
管理が簡単になります。
n 制限付きロールをグループに割り当てる場合は、そのグループにシステム管理者ユーザーまたはその他の管理権
限を持つユーザーが含まれていないことを確認してください。含まれている場合、グループに制限付きロールを
割り当てたインベントリ階層の一部で、管理者の権限が誤って制限される可能性があります。
VMware Cloud on AWS データセンターの管理
VMware, Inc. 60
n フォルダを使用してオブジェクトをグループ化します。たとえば、1 つのホスト セットに変更アクセス許可を付
与し、別のホスト セットに表示アクセス許可を付与する場合は、各ホスト セットを 1 つのフォルダに格納しま
す。
n オブジェクトに権限を割り当てるときに権限の伝達を有効にすることを検討してください。権限の伝達を有効に
すると、オブジェクト階層内の新しいオブジェクトが権限を継承するようになります。たとえば、仮想マシン フォルダに権限を割り当てて、権限の伝達を有効にすることで、この権限をフォルダ内のすべての仮想マシンに確
実に適用することができます。
n 階層内の特定の領域をマスクするには、アクセスなしロールを使用します。アクセスなしロールは、そのロール
を持つユーザーまたはグループに対し、アクセスを制限します。
CloudAdmin 権限
ホストの管理やその他のタスクは VMware が行うため、クラウドの管理者に必要な権限はオンプレミス データセン
ターの管理者よりも少なくなります。
CloudAdmin ロールは、各 SDDC 向けに動的に生成される権限のセットを持っています。ここには、すべてのカテ
ゴリで使用可能な権限がほぼすべて含まれています。CloudAdmin ロールに付与される権限を確認するには、SDDC vSphere Client にログインし、[管理] - [ロール] の順にクリックし、ロールのリストから CloudAdmin を選択して、
[権限] をクリックします。
各権限によって付与される許可の詳細については、vSphere の定義された権限リファレンスを参照してください。
VMware Cloud on AWS データセンターの管理
VMware, Inc. 61
クラスタおよびリソース プール 7オンプレミスの vSphere 環境では、ユーザーが ESXi ホストをグループ化し、vSphere HA、vSphere DRS などの
クラスタ機能が設定できるようにクラスタを構成します。リソース プール グループのリソースを使用します。
VMware Cloud on AWS 環境では、VMware によって、事前設定された構成を持つ単一のクラスタが作成されます。
コンピューティング仮想マシンにリソース プールが作成され、管理仮想マシンに 2 番目のリソース プールが作成さ
れます。ユーザーはクラスタとリソース プールの設定を表示し、子リソース プールを作成および構成することがで
きます。
VMware Cloud on AWS で実行できる操作は、選択した内容によって異なります。
表 7-1. VMware Cloud on AWS のクラスタおよびリソース プールでサポートされているタスク
オブジェクト サポートされているタスク
クラスタ VMware Cloud on AWS 環境には、SDDC に属しているすべての ESXi ホストを含むクラスタが 1 つあります。
n vSphere DRS や vSphere HA などのクラスタ構成を表示します。
CloudAdmin ユーザーはクラスタ構成を変更できません。
n クラスタに関連付けられているすべてのホストおよびすべてのクラ
スタを調べます。メモリおよび CPU の使用量、HA の状態、アップ
タイムを確認できます。
n クラスタに関連付けられているすべての仮想マシン、データストア、
およびネットワークを調べます。
n タグおよび属性を設定します。10 章 vSphere のタグおよび属性を
参照してください。
リソース プール VMware Cloud on AWS 環境には、2 つの事前定義されたリソース プー
ルがあります。次のタスクを実行できます。
n 新しい仮想マシンおよび子リソース プールを作成します。
n 子リソース プールのリソース割り当て設定を変更します。
n 会社のポリシーに合わせてリソース プールの名前を変更します。
n リソース プール、その仮想マシン、およびその子リソース プールを
監視し、リソース プールの使用率を調べます。
n タグおよび属性を設定します。10 章 vSphere のタグおよび属性を
参照してください。
注: [削除] などの一部のメニュー オプションは最上位のリソース プールに対して使用できますが、効果はありませ
ん。[email protected] には、これらのタスクを実行する権限がありません。[アラーム] ウィンドウに警告が
表示されます。
この章には、次のトピックが含まれています。
VMware, Inc. 62
n 事前定義されたクラスタおよびリソース プール
n クラスタ内の仮想マシンとホストの確認
n vSphere DRS の確認とモニタリング
n vSphere HA の確認とモニタリング
n クラスタ構成の確認
n 子リソース プールの作成および管理
事前定義されたクラスタおよびリソース プール
VMware Cloud on AWS Software-Defined Data Center (SDDC) には、クラスタおよび 2 つのリソース プールが
含まれています。vSphere クラスタは、一連のホストの CPU、メモリ、およびストレージ リソースをすべて整理し
て、管理します。各クラスタ内で、リソースは各リソース プールによってさらに分割されます。Compute-ResourcePool の子リソース プールを作成できます。
VMware Cloud on AWS SDDC では、ユーザーのすべてのリソースは VMware の提供したクラスタで管理されてい
ます。つまり、仮想マシンに追加のリソースが必要な場合は、vSphere DRS によって仮想マシンが別のホストに移
行されます。いずれかのホストが使用できなくなると、vSphere HA は直ちに、このホストで実行されているすべて
の仮想マシンを別のホストで起動します。
リソース プールによってリソースの割り当てをさらに分割することができますが、vSphere DRS および vSphere HA の動作には影響しません。VMware Cloud on AWS SDDC には、2 つの事前定義されたリソース プールがあり
ます。これらのリソース プールは同じ物理ハードウェアを共有しますが、異なる目的で使用されます。
Compute-ResourcePool デフォルトでは、すべてのワークロード仮想マシンは最上位の Compute-ResourcePool に作成されます。複数の仮想マシンへのリソース割り当てに優先順
位が必要なときに、このリソース プールの子リソース プールを作成できます。
Mgmt-ResourcePool NSX Manager インスタンスや NSX Controller インスタンスなどのすべての管理
仮想マシンは、Mgmt-ResourcePool に作成されます。このプール内のリソースは
管理仮想マシン用に予約されているため、Compute-ResourcePool のリソースを
使用することはありません。
表 7-2. 管理仮想マシンによって使用されるリソース
リソース タイプ 平均リソース使用量
vCPU 32
メモリ 104 GB
ストレージ 3898 GB
クラスタ内の仮想マシンとホストの確認
VMware Cloud on AWS 環境では、クラスタ内の仮想マシンとホストを調べることができます。
VMware Cloud on AWS データセンターの管理
VMware, Inc. 63
手順
1 vSphere Client で [メニュー] をクリックし、[ホストおよびクラスタ] を選択します。
2 [Cluster-1] を選択します。
VMware Cloud on AWS では、単一クラスタに設定が保持されます。設定は事前に定義されているため、別の
クラスタは必要ありません。
3 [仮想マシン] をクリックして仮想マシンと vApp を調べます。
a 各仮想マシンが使用している CPU およびメモリの量を確認します。さらに割り当てられたストレージ容量
と使用済み容量を確認します。
b タイトル バーの下向き矢印を右クリックすると、列の表示/非表示が切り替わります。
c 仮想マシンまたは vApp を変更する場合は、仮想マシンまたは vApp を選択します。オブジェクト階層内の
仮想マシンを右クリックし、[設定] をクリックして変更します。
詳細については、VMware Cloud on AWS の『[仮想マシンの管理]』ドキュメントを参照してください。
4 [ホスト] をクリックし、クラスタ内のホストが使用しているリソースを確認します。
現在のリソース使用量から、直ちにホストを追加する必要があると判断した場合には、ホストの追加を要求でき
ます。
vSphere DRS の確認とモニタリング
vSphere DRS は、SDDC 内の仮想マシン全体に対して最適なリソース割り当てを行います。オンプレミス環境では、
いくつかのオプションを設定できます。たとえば、完全に自動化された DRS を使用することや、推奨を受け入れる
ことができます。VMware Cloud on AWSSDDC では、VMware がホストのクラスタに対して vSphere DRS のオ
プションを事前に設定しています。
VMware は、発生する移行の数を最小限に抑えながら最適なリソース配布を行う設定を選択しています。これらの設
定は変更する必要がないため、変更できません。事前構成済みの値は、参考値として使用できます。
注: シームレスなユーザー エクスペリエンスを実現するため、オンプレミス SDDC と VMware Cloud on AWS SDDC では、クラスタやリソース プールの構成、監視、確認を行う画面が統一されています。ただし、VMware Cloud on AWS の [編集] ボタンは灰色で表示されます。
手順
1 vSphere Client で [メニュー] をクリックし、[ホストおよびクラスタ] を選択します。
2 [Cluster-1] を選択します。
VMware Cloud on AWS では、単一クラスタに設定が保持されます。設定は事前に定義されているため、別の
クラスタは必要ありません。
3 DRS の設定を確認します。クラスタ全体でのリソース割り当てが完全に自動化されています。
ユーザー インターフェイスに、詳細が表示されます。詳細については、『vSphere リソース管理』ドキュメント
を参照してください。
VMware Cloud on AWS データセンターの管理
VMware, Inc. 64
vSphere HA の確認とモニタリング
vSphere HA は、仮想マシンの可用性を確保します。あるホストで障害が発生した場合、vSphere HA は別のホスト
で仮想マシンを再起動します。VMware Cloud on AWSSDDC では、VMware が障害の発生したホストを直ちに置
き換えるため、SDDC のすべてのリソースが常に利用できます。
注: シームレスなユーザー エクスペリエンスを実現するため、オンプレミス SDDC と VMware Cloud on AWS SDDC では、クラスタやリソース プールの構成、監視、確認を行う画面が統一されています。ただし、VMware Cloud on AWS の [編集] ボタンは灰色で表示されます。
手順
1 vSphere Client で [メニュー] をクリックし、[ホストおよびクラスタ] を選択します。
2 [Cluster-1] を選択します。
VMware Cloud on AWS では、単一クラスタに設定が保持されます。設定は事前に定義されているため、別の
クラスタは必要ありません。
3 vSphere HA の設定を確認します。設定は、クラウド環境に最適化されています。
設定 説明
vSphere HA が有効 vSphere HA が有効の場合、仮想マシンはホストの障害から保護されて
います。
Proactive HA が無効 VMware が障害の発生したホストを直ちに置き換えるため、VMware Cloud on AWS 環境に Proactive HA は不要です。
障害の状態と応答 VMware Cloud on AWS はハードウェア レベルで保護されているた
め、vSphere HA の一部の機能は無効になっています。クラウドでこれ
らの機能を有効にしても効果がありません。
アドミッション コントロール 予約されている CPU とメモリ容量が表示されます。指定されたフェイル
オーバー容量がクラスタにない場合は、追加の仮想マシンを起動できませ
ん。
詳細オプション クラウド SDDC に事前設定されている詳細オプションの設定が表示され
ます。
オンプレミス vSphere 環境で可用性を確保する vSphere HA などの機能の詳細については、『vSphere 可用性』
ドキュメントを参照してください。オンプレミスの管理者が管理する機能の多くは、VMware Cloud on AWSで事前設定されています。
4 vSphere HA イベントの詳細については、[vSphere HA のモニタリング] リンクをクリックしてください。
VMware Cloud on AWS データセンターの管理
VMware, Inc. 65
クラスタ構成の確認
VMware Cloud on AWSSDDC では、オンプレミスの展開環境で表示および変更が可能なすべてのクラスタ構成の
詳細を確認できます。
注: シームレスなユーザー エクスペリエンスを実現するため、オンプレミス SDDC と VMware Cloud on AWS SDDC では、クラスタやリソース プールの構成、監視、確認を行う画面が統一されています。ただし、VMware Cloud on AWS の [編集] ボタンは灰色で表示されます。
手順
1 vSphere Client で [メニュー] をクリックし、[ホストおよびクラスタ] を選択します。
2 [Cluster-1] を選択します。
VMware Cloud on AWS では、単一クラスタに設定が保持されます。設定は事前に定義されているため、別の
クラスタは必要ありません。
3 次の設定を確認します。
設定 説明
全般 事前定義済みのスワップ ファイルの場所および仮想マシンの互換性の設
定が表示されます。
VMware EVC VMware Enhanced vMotion Compatibility は無効です。ホストは一
貫しているため、vMotion の互換性の問題は発生しません。
仮想マシン/ホスト グループ
仮想マシン/ホスト ルール VMware Cloud on AWS 環境の管理者は、特定の仮想マシンが同じルー
ルで実行されないようにするルールを作成します。管理者以外は、このル
ールを表示できますが、作成することはできません。
仮想マシンのオーバーライド 仮想マシンのオーバーライドは、特定の仮想マシンの動作を変更します。
たとえば、vCenter Server 仮想マシンは vSphere HA の再起動優先順
位が最も高く設定されています。いくつかのシステム仮想マシンに対し
て VMware Cloud on AWS の管理者が設定したオーバーライドを表示
できます。管理者以外は、仮想マシンにオーバーライドを指定することが
できません。
ホスト オプション ホストに関する一部の情報を含むホスト オプションが表示されます。
ホスト プロファイル ESXi のすべてのホストは VMware によって管理され、一貫した方法で設
定されます。ホスト プロファイルは不要です。
子リソース プールの作成および管理
リソース プールを使用すると、さまざまなグループのニーズに応じてリソースを割り当てることができます。最上位
のコンピューティング リソース プール(デフォルト名は「Compute-ResourcePool」)に対して、子リソース プー
ルの階層を作成できます。リソース プールを作成するときにリソース設定を指定し、これらの設定を後で変更するこ
とができます。
VMware Cloud on AWS データセンターの管理
VMware, Inc. 66
たとえば、ホストにいくつかの仮想マシンがあるとします。マーケティング部門は 3 台の仮想マシンを使用し、QA 部門は 2 台の仮想マシンを使用します。QA 部門は、より多くの CPU とメモリを必要とするため、管理者は、グル
ープごとに 1 つのリソース プールを作成します。QA 部門のユーザーは自動化されたテストを実行するため、管理者
は QA 部門のプールの [CPU シェア] を [高] に設定し、マーケティング部門のプールを [標準] に設定します。CPU とメモリのリソースがより少ない 2 番目のリソース プールでも、マーケティング スタッフの負荷は軽いので十分です。
QA 部門が割り当て分のすべてを使用していない場合、マーケティング部門はいつでも使用可能リソースを使用でき
ます。
次の図の数値は、リソース プールに対する実際の割り当てを示しています。
VMware Cloud on AWS データセンターの管理
VMware, Inc. 67
図 7-1. 親リソース プールおよび子リソース プール
コンピューティング
6 GHz、30 GB
RP-QA4 GHz、20 GB
QA 1 QA 2 マーケ
RP-マーケティング2 GHz、10 GB
リソース プール
ティング1マーケ
ティング2マーケ
ティング3
VMware Cloud on AWS データセンターの管理
VMware, Inc. 68
手順
1 タスクを開始します。
タスク 手順
リソース プールの作成 親リソース プールを右クリックし、[新しいリソース プール] を選択します。
リソース プールの設定の編集 リソース プールを右クリックし、[リソース設定の編集] を選択します。
注: システム定義のリソース プールの設定を編集しても、変更は適用されません。
2 CPU リソースおよびメモリ リソースの割り当て方法を指定します。
オプション 説明
名前 このリソース プールの名前。
シェア 親の合計リソースに対するこのリソース プールのシェアを指定します。兄弟のリソース プー
ルは、予約と制限の範囲内で、相対的シェア値に従ってリソースを共有します。
n [低]、[標準]、または [高] を選択して、それぞれ 1:2:4 の比率でシェア値を指定します。
n 各仮想マシンに対して、比重に見合う特定のシェア値を指定するには、[カスタム] を選択
します。
予約 リソース プールで確保されている CPU またはメモリの割り当てを指定します。デフォルトは
0 です。
0 以外の予約は、親 (ホストまたはリソース プール) の未予約のリソースから差し引かれま
す。リソースは、仮想マシンがリソース プールに関連付けられているかどうかに関係なく、予
約済みとみなされます。
拡張可能な予約 このチェック ボックスを選択すると (デフォルト)、アドミッション コントロール中に拡張可
能な予約が考慮されます。
このリソース プール内の仮想マシンをパワーオンすると仮想マシンの予約の合計がリソース
プールの予約よりも大きくなる場合、リソース プールは親または先祖のリソースを使用できま
す。
制限 リソース プールに割り当てる CPU またはメモリの上限を指定します。通常はデフォルト値
([制限なし]) を使用します。
制限を指定するには、[制限なし] チェック ボックスを選択解除します。
3 [OK] をクリックします。
VMware Cloud on AWS データセンターの管理
VMware, Inc. 69
VMware Cloud on AWS の vSAN ストレージ 8VMware Cloud on AWS では、各 SDDC クラスタ内で 2 つの vSAN データストアを利用できます。1 つはクラウド
管理者が管理する WorkloadDatastore、もう 1 つは VMware が管理する vsanDatastore です。
これらのデータストアは、共通の容量プールを共有する論理エンティティです。クラスタ内の使用可能な空き容量の
合計値が、各データストアの [容量] に表示されます。一方のデータストアで容量が使用されると、両方のデータスト
アの [空き容量] の値が更新されます。
vsanDatastorevCenter Server や NSX コントローラなど、SDDC 内の管理仮想マシンにストレージを提供します。
SDDC 内の vSAN ストレージの管理とトラブルシューティングは、VMware が担当します。このため、ユーザーは
vSAN クラスタ設定の編集または vSAN クラスタの監視を実行できません。このデータストアの参照、ファイルのア
ップロード、ファイルの削除の権限も付与されません。
WorkloadDatastoreワークロード仮想マシン、テンプレート、ISO イメージ、および SDDC にアップロードしたその他すべてのファイル
用のストレージを提供します。データストアの参照、フォルダの作成、ファイルのアップロード、ファイルの削除な
ど、ストレージの使用に必要なすべての権限がユーザーに付与されます。
デフォルトでは、SDDC 内のデータストアにはデフォルトの仮想マシン ストレージ ポリシーが割り当てられます。
どのデータストアにも、追加のストレージ ポリシーを定義して割り当てることができます。vSAN ストレージ ポリシ
ーの詳細については、vSAN ポリシーの使用を参照してください。
この章には、次のトピックが含まれています。
n ストレージ容量とデータ冗長性
n vSAN の重複排除および圧縮
n VMware Cloud on AWS での vSAN 暗号化
n vSAN のポリシー
n 仮想マシンへのストレージ ポリシーの割り当て
VMware, Inc. 70
ストレージ容量とデータ冗長性
SDDC のストレージ容量とデータ冗長性は SDDC 内のノード数によって異なります。
単一ノードの SDDC の場合、データの冗長性機能は提供されません。複数ノードの SDDC では、さまざまな RAID 構成によるデータの冗長性をサポートします。SDDC のすべてのストレージにおいてデータの重複排除および圧縮
を提供します。複数ホストで構成される SDDC のデータの冗長性は、許容する障害数 (FTT: Failures To Tolerate) として表示されます。なお、クラスタ内のホスト数やアレイのストレージ デバイスが 1 台の場合、障害が発生すると
データが失われる可能性があります。
一般的なストレージの割り当ておよび使用例
この表に示すように、すべての RAID 構成で冗長性のサポートにデータを使用します。[使用可能なストレージ] 列で
は、特定の vSAN ポリシーを適用した場合の指定ホストが格納可能なデータ量と、その合計量から 30% を差し引い
た推奨空き容量が表示されます。
表 8-1. ノード 1 台あたりの使用可能なストレージ
ノード FTT と RAID 構成
使用可能なストレージ
(TB) 重複排除/圧縮後の推定空き容量 (TB)
1 なし 7 10
3 障害 1 回、RAID-1(ミラーリング) 3.7 5
4 障害 1 回、RAID-5(イレージャ コーディン
グ)
5.6 8
5 障害 2 回、RAID-1(ミラーリング) 2.5 3.6
6 障害 2 回、RAID-6(イレージャ コーディン
グ)
4.9 7
仮¥想マシンのストレージ使用量に関する RAID オーバーヘッドを表示することもできます。この表では、特定のス
トレージ割り当てにおいて、様々な RAID や FTT (許容する障害数)を設定した場合の 100 GB 仮想マシンの平均的
なストレージ使用量への影響をまとめています。
表 8-2. 100 GB の仮想マシンによって使用されるストレージ
ノード FTT と RAID 構成 実際の割り当て量 (GB) 平均的な使用量 (GB)
1 なし 100 69
3 障害 1 回、RAID-1(ミラーリング) 200 138
4 障害 1 回、RAID-5(イレージャ コーディング) 133 92
5 障害 2 回、RAID-1(ミラーリング) 300 207
6 障害 2 回、RAID-6(イレージャ コーディング) 150 103
vSAN の重複排除および圧縮
vSAN はブロックレベルの重複排除および圧縮を実行してストレージ容量を節約します。これにより VMware Cloud on AWSSDDC で、より効率的かつコスト効率の良い方法でストレージを使用できます。
VMware Cloud on AWS データセンターの管理
VMware, Inc. 71
重複排除では冗長なデータ ブロックが削除されるのに対して、圧縮ではさらに各データ ブロック内で冗長なデータ
が削除されます。これらの技術は連携して機能し、データを保存するために必要な物理ストレージを減らすことがで
きます。VMware vSAN は重複排除を実行してから、データをキャッシュ層からキャパシティ層に移動するときに圧
縮を実行します。
重複排除は、キャッシュ層からキャパシティ層にデータが書き戻されたときにインラインで実行されます。重複排除
アルゴリズムは固定ブロック サイズを使用し、各ディスク グループ内で適用されます。同一ディスク グループ内の
ブロックの冗長コピーは、重複排除されます。
重複排除と圧縮によって節約できるストレージ容量は、ワークロード データに大きく左右されます。平均すると、ス
トレージ容量の節約は 1.5 倍~ 2.0 倍になります。
SDDC バージョン 1.3 以降では、新規作成するすべてのクラスタで重複排除と圧縮が有効になります。この機能は、
VMware Cloud on AWS のすべてのクラスタで自動的に有効になり、オフにすることはできません。
古いバージョンの SDDC で作成されたクラスタでは、SDDC の新しいバージョンへのアップグレード後に重複排除
と圧縮が有効になります。重複排除および圧縮を有効にする際は、一時的に余剰ホストがクラスタに追加されます。
このホストに対して料金が発生することはありません。アップグレードを行うと、各ディスク グループからデータが
退避され、重複排除設定に沿ってディスク グループが再フォーマットされてから、データがそのディスク グループ
に書き戻されます。
重複排除と圧縮が有効になるには、ある程度の時間がかかります。この処理の間、重複排除が有効になったディスク
グループと有効になっていないディスク グループが混在した状態で一部のクラスタが稼動する場合があります。ア
ップグレードの進行中は、クラスタからホストを削除できません。アップグレードの最中は、特に I/O 負荷が大きい
ときにクラスタの速度が低下する場合があります。
重複排除と圧縮をより迅速に有効にするためのベスト プラクティスは次のとおりです。
n ホストの追加や仮想マシンの追加または削除など、クラスタ構成の変更はできる限り避ける。
n ストレージ ポリシーを変更しない。
n 現在のクラスタの容量をできる限り維持する。
VMware Cloud on AWS での vSAN 暗号化
vSAN では、VMware Cloud on AWS で保存されているすべてのユーザー データを暗号化します。
暗号化は、SDDC で展開される各クラスタにおいてデフォルトで有効になっており、無効にすることはできません。
クラスタを展開する際に、vSAN は、AWS キー マネージメント サービス (AWS KMS) を使用してお客様マスター キー (CMK) を生成します。この CMK は、AWS KMS によって格納されます。そして、vSAN はキー暗号化キー (KEK) を生成し、CMK を使用して暗号化します。次に KEK を使用して vSAN ディスクごとに生成されるディスク暗号化キ
ー (DEK) を暗号化します。
vSAN API または vSphere Client ユーザー インターフェイスを使用して、KEK を変更できます。このプロセスは、
キー再生成(表層)の実行と呼ばれます。お客様マスター キー (CMK) またはディスクの暗号化キー (DEK) の変更
はサポートされていません。CMK または DEK を変更する必要がある場合、新しいクラスタを作成し、仮想マシンお
よびデータをクラスタに移行してください。
VMware Cloud on AWS データセンターの管理
VMware, Inc. 72
VMware Cloud on AWS での新しい暗号化キーの生成
必要に応じて、VMware Cloud on AWS クラスタの新しいキー暗号化キー (KEK) を生成できます。
このプロセスは、キー再生成(表層)の実行と呼ばれます。お客様マスター キー (CMK) またはディスクの暗号化キ
ー (DEK) の変更はサポートされていません。CMK または DEK を変更する必要がある場合、新しいクラスタを作成
し、仮想マシンおよびデータをクラスタに移行してください
手順
1 クラウド SDDC の vSphere Client にログインします。
2 vSAN クラスタに移動します。
3 [設定] タブをクリックします。
4 [vSAN] の下で [サービス] を選択します。
5 [新しい暗号化キーの生成] をクリックします。
6 新しい KEK を生成するには、[適用] をクリックします。
ディスクの暗号化キー (DEK) は、新しい KEK で再暗号化されます。
例: このタスクに VMware PowerCLI を使用する
cloudadmin パスワードがわかっている場合は、次のような PowerCLI コマンドを使用して、vSAN サービスのキー
再生成(表層)を行うことができます。この例では、https://code.vmware.com/samples/2200#code からダウン
ロードできる Vsan-EncryptionRekey.psl コード サンプルに基づいて、SDDC vCenter Server
vcenter.sddc-54-200-165-35.vmwarevmc.com の Cluster-1 で実行されている vSAN サービスのキーを再生成
します。
PS > ./Vsan-EncryptionRekey.psl -vCenter vcenter.sddc-54-200-165-35.vmwarevmc.com -User
[email protected] -Password cloudadmin-password -ReKey shallow -ClusterName Cluster-1
vSAN のポリシー
vSAN ストレージ ポリシーは、仮想マシンのストレージ要件が定義します。このポリシーによって、仮想マシンへの
ストレージの割り当て方法が決まるため、仮想マシンに必要なサービス レベルを確保できます。
VMware Cloud on AWS には、管理仮想マシン用 (vsanDatastore) とワークロード仮想マシン用
(WorkloadDatastore) の 2 つの vSAN データストアが含まれます。いずれのデータストアも、基盤となる同一のス
トレージ デバイスを共有し、同一プールから空き容量を使用します。
vSAN データストアに展開する各仮想マシンには、少なくとも 1 つの仮想マシン ストレージ ポリシーが割り当てら
れます。ストレージ ポリシーは、仮想マシンを作成または編集するときに割り当てることができます。
注: 仮想マシンにストレージ ポリシーを割り当てない場合は、vSAN によってデフォルト ポリシーが割り当てられ
ます。デフォルト ポリシーでは [許容されるプライマリ レベルの障害数] が 1 に設定されており、各オブジェクトに
単一のディスク ストライプが設定され、シン プロビジョニングされた仮想ディスクが使用されます。
VMware Cloud on AWS データセンターの管理
VMware, Inc. 73
ストレージ ポリシーには、可用性属性と詳細属性があります。
vSAN 仮想マシン ストレージ ポリシーの可用性属性
サイトの障害許容 サイトの障害を処理するために、ストレッチ クラスタでデータをどのように冗長化
するかを定義します。この属性はストレッチ クラスタに適用されます。標準の
vSAN クラスタがある場合は、[なし(標準のクラスタ)] を選択します。
次のオプションがあります。
n なし(標準のクラスタ)
n デュアル サイト監視(ストレッチ クラスタ)
n なし: データをプライマリに保管(ストレッチ クラスタ)
n なし: データをセカンダリに保管(ストレッチ クラスタ)
許容する障害数 仮想マシンで許容できるホストおよびデバイスの障害の数を定義します。データ冗
長性を使用しないようにするか、パフォーマンス(ミラーリング)またはキャパシ
ティ(イレージャ コーディング)のどちらかに最適化された RAID 構成を選択でき
ます。
表 8-3. RAID 構成、FTT、およびホストの要件
RAID 構成 許容する障害の数 (FTT) 必要な最小ホスト数
RAID-1(ミラーリング)。これが
デフォルトの設定です。
1 3
RAID-5(イレージャ コーディン
グ)
1 4
RAID-1(ミラーリング) 2 5
RAID-6(イレージャ コーディン
グ)
2 6
RAID-1(ミラーリング) 3 7
クラスタ内のホストの初期値と、クラスタへのホストの追加または削除方法は RAID 構成に影響します。たとえば、3 ホスト構成のクラスタは RAID 1 で初期構成されま
す。ホストを追加すると、クラスタを RAID 5 に再構成することができますが、再
構成は自動で実行されません。4 ホスト構成のクラスタには、RAID 5 で初期構成さ
れます。詳細については、ストレージ容量とデータ冗長性を参照してください。
vSAN 仮想マシン ストレージ ポリシーの詳細属性
オブジェクトあたりのディ
スク ストライプの数
仮想マシン オブジェクトの各レプリカがストライピングされるキャパシティ デバ
イスの最小数。値が 1 より大きい場合、パフォーマンスが向上することがあります
が、システム リソースの使用量も増加します。デフォルト値は 1 です。最大値は
VMware Cloud on AWS データセンターの管理
VMware, Inc. 74
12 です。デフォルト値は、VMware サポートで推奨された場合にのみ変更してく
ださい。
オブジェクトの IOPS の制
限
VMDK などのオブジェクトの IOPS 制限を定義します。IOPS は重み付けされたサ
イズを使用して I/O 処理数として計算されます。システムがデフォルトの基本サイ
ズである 32 KB を使用する場合、64-KB I/O は 2 個の I/O 処理を意味します。
IOPS の計算では読み取りと書き込みは同等であるとみなされ、キャッシュ ヒット
率およびシーケンスは考慮されません。ディスクの IOPS が制限値を超えると I/O 処理が調整されます。[オブジェクトの IOPS 制限] を 0 に設定した場合、IOPS 制限
は適用されません。
vSAN では、最初の 2 回の処理中または無効期間の後に、オブジェクトが IOPS 制限の比率を 2 倍にできます。
オブジェクト容量の予約 仮想マシンのデプロイ時に予約する必要がある仮想マシン ディスク (vmdk) オブ
ジェクトの論理サイズの割合(シック プロビジョニング)。
デフォルト値は 0% です。最大値は 100% です。
Flash Read Cache の予約 仮想マシン オブジェクトの読み取りキャッシュとして予約されているフラッシュ
容量。仮想マシン ディスク (vmdk) オブジェクトの論理サイズの割合として指定
されます。予約済みのフラッシュ容量を他のオブジェクトが使用することはできま
せん。予約されていないフラッシュはすべてのオブジェクトで適切に共有されま
す。特定のパフォーマンス問題に対処する場合にのみ、このオプションを使用しま
す。
キャッシュを取得するために予約を設定する必要はありません。キャッシュの予約
設定は常にオブジェクトに含まれるため、読み取りキャッシュの予約を設定すると、
仮想マシン オブジェクトの移動時に問題が生じることがあります。
Flash Read Cache の予約のストレージ ポリシー属性は、ハイブリッド構成でのみ
サポートされます。オールフラッシュ vSAN クラスタの仮想マシン ストレージ ポリシーを定義する際には、この属性は使用しないでください。
デフォルト値は 0% です。最大値は 100% です。
注: デフォルトでは、vSAN により需要に基づいてストレージ オブジェクトに読
み取りキャッシュが動的に割り当てられます。この機能により、リソースを最もフ
レキシブルかつ最適に使用できます。したがって、通常はこのパラメータのデフォ
ルト値である 0 を変更する必要はありません。
パフォーマンスの問題解決のために値を増やす場合は、十分に注意してください。
複数の仮想マシンにわたってキャッシュ予約を過剰にプロビジョニングすると、過
剰予約によってフラッシュ デバイスの容量が無駄に使用される場合があります。
このようなキャッシュ予約は、特定の時間に必要な容量を使用するワークロードに
は利用できません。容量を無駄に使用すると、サービスが提供できなくなり、パフ
ォーマンスが低下するおそれがあります。
VMware Cloud on AWS データセンターの管理
VMware, Inc. 75
オブジェクト チェックサム
の無効化
このオプションを [いいえ] に設定すると、オブジェクトはチェックサム情報を計算
してそのデータの整合性を維持します。このオプションを [はい] に設定すると、オ
ブジェクトはチェックサム情報を計算しません。
vSAN は End-to-End のチェックサムを使用して、ファイルの各コピーがソース ファイルとまったく同じであることを確認してデータの整合性を維持します。システ
ムは読み取り/書き込み処理中にデータの妥当性を確認し、エラーが検出されると、
vSAN はデータを修復するかエラーを報告します。
チェックサムの不一致が検出された場合、vSAN は正しくないデータを正しいデー
タで上書きすることによって自動的にデータを修復します。チェックサム計算とエ
ラー修正はバックグラウンド処理として実行されます。
クラスタ内のすべてのオブジェクトのデフォルト設定は [いいえ] で、チェックサム
は有効です。
強制プロビジョニング このオプションを [はい] に設定すると、データストアがストレージ ポリシーで指定
された [許容されるプライマリ レベルの障害数]、[オブジェクトあたりのディスク
ストライプの数]、[Flash Read Cache の予約] ポリシーを満たせない場合でも、オ
ブジェクトはプロビジョニングされます。このパラメータは、シナリオをブートス
トラッピングする場合、および標準のプロビジョニングが実行できなくなる障害発
生時に使用します。
ほとんどの本番環境では、デフォルトの [いいえ] を許容できます。vSAN では、ポ
リシー要件が満たされないと仮想マシンのプロビジョニングに失敗しますが、ユー
ザー定義のストレージ ポリシーは正常に作成されます。
ストレージ ポリシーと SLA 要件
仮想マシン ストレージ ポリシーを使用する場合、それが vSAN クラスタのストレージ容量の利用への影響と、それ
が VMware Cloud on AWS のサービス レベル アグリーメント (SLA) で定義されている要件を満たしているかを理
解することが重要です。
デフォルトの vSAN ストレージ ポリシーは、最初にクラスタ内のホストの数に基づいて設定されます。たとえば、3 台のホストのクラスタのデフォルトは、Raid-1 ミラーリング ポリシーを使用する FTT=1 です。4 台のホストのクラ
スタでもデフォルトは FTT=1 ですが、より容量効率の高い Raid-5 イレージャ コーディング ポリシーを使用します。
1 つの AZ 内に 6 台以上の i3.metal ホストを持つクラスタのデフォルトは、Raid-6 のイレージャ コーディング ポリ
シーを使用する FTT=2 です。基盤となるデータのニーズとデータの可用性を一致させるカスタム ポリシーを作成す
VMware Cloud on AWS データセンターの管理
VMware, Inc. 76
ることができますが、サービス レベル アグリーメントで設定されている要件を満たさないストレージ ポリシーを持
つワークロード仮想マシンは、SLA クレジットに適合しない場合があります。仮想マシン ストレージ ポリシーは、
適切なレベルの保護を使用して設定する必要があります。短期のワークロードでは、可用性に関する SLA を結ばず
に、キャパシティを節約するためにデータ冗長性を持たないポリシーを使用することがあります。
重要: ホスト 5 個の i3.metal クラスタをホスト 6 個に拡張する場合、障害のプールが大きくなることに対応する
ために、ミラーリングまたはイレージャ コーディングを使用して、基盤となるポリシー設定を FTT=2 に更新する必
要があります。このホスト設定で引き続き FTT=1 を使用した場合、VMware ではサービス定義ガイダンスに基づく
可用性を確保できません。Elastic vSAN を使用する R5.metal クラスタは、クラスタのサイズに関係なく FTT=1 で
SLA を維持することができます。
ストレージ ポリシーの設計およびサイジングの考慮事項については、『VMware vSAN の管理』ドキュメントを参照
してください。
vSAN のデフォルト ストレージ ポリシーについて
vSAN では、vSAN データストアに展開する仮想マシンに、少なくとも 1 つのストレージ ポリシーを割り当てる必要
があります。仮想マシンのプロビジョニング時にストレージ ポリシーを明示的に割り当てない場合、vSAN のデフォ
ルト ストレージ ポリシーが仮想マシンに割り当てられます。
デフォルト ポリシーには、vSAN ルール セットと一連の基本的なストレージ機能が含まれ、通常、vSAN データスト
アに展開する仮想マシンの配置に使用されます。
表 8-4. vSAN のデフォルト ストレージ ポリシーの仕様
仕様 設定
許容されるプライマリ レベルの障害数 1
オブジェクトあたりのディスク ストライプの数 1
フラッシュ読み取りキャッシュの予約、つまり読み取りキャッシュに使用
されるフラッシュ容量
0
オブジェクト容量の予約 0
注: オブジェクト容量の予約をゼロに設定すると、仮想ディスクがデフ
ォルトでシン プロビジョニングされることになります。
強制プロビジョニング いいえ
デフォルトの仮想マシン ストレージ ポリシーの設定の確認は、[仮想マシン ストレージ ポリシー] > [vSAN のデフォ
ルト ストレージ ポリシー] > [管理] > [ルール セット 1: vSAN] の順に移動して行うことができます。
最適な結果を得るには、デフォルトのストレージ ポリシーと同じ要件であっても、独自の仮想マシン ストレージ ポリシーを作成して使用することをお勧めします。クラスタをスケール アップするとき、場合によっては、VMware Cloud on AWS のサービス レベル アグリーメント (SLA)の要件を遵守するためにデフォルトのストレージ ポリシー
を変更する必要があります。ユーザー定義の仮想マシン ストレージ ポリシーの作成については、 vSAN の仮想マシ
ン ストレージ ポリシーの定義を参照してください。
ユーザー定義のストレージ ポリシーをデータストアに割り当てた場合、vSAN は指定されたデータストアにユーザー
定義ポリシーの設定を適用します。vSAN データストアには、1 つの仮想マシン ストレージ ポリシーのみをデフォル
ト ポリシーとしていつでも割り当てることができます。
VMware Cloud on AWS データセンターの管理
VMware, Inc. 77
特性
vSAN のデフォルト ストレージ ポリシーの特性は、次のとおりです。
n 仮想マシンをプロビジョニングするときに他の vSAN ポリシーを割り当てなかった場合は、vSAN のデフォルト
ストレージ ポリシーがすべての仮想マシン オブジェクトに割り当てられます。[ストレージの選択] ページの
[仮想マシン ストレージ ポリシー] テキスト ボックスは、[データストアのデフォルト] に設定されます。ストレ
ージ ポリシーの使用方法の詳細については、『vSphere のストレージ』ドキュメントを参照してください。
注: 仮想マシンのスワップと仮想マシンのメモリ オブジェクトは、[強制プロビジョニング] が [はい] に設定さ
れた vSAN のデフォルト ストレージ ポリシーを受け取ります。
n vSAN のデフォルト ポリシーは、vSAN データストアのみに適用されます。NFS や VMFS データストアなど、
non-vSAN データストアにデフォルト ストレージ ポリシーを適用することはできません。
n デフォルトの仮想マシン ストレージ ポリシーは vCenter Server のどの vSAN データストアとも互換性がある
ため、デフォルト ポリシーを使用してプロビジョニングされた仮想マシン オブジェクトを vCenter Server の任
意の vSAN データストアに移動できます。
n デフォルト ポリシーのクローンを作成して、ユーザー定義のストレージ ポリシーを作成するためのテンプレー
トとして使用できます。
n StorageProfile.View 権限がある場合は、デフォルト ポリシーを編集できます。少なくとも 1 台のホストを含む
vSAN 対応クラスタが 1 つ以上必要です。通常は、デフォルト ストレージ ポリシーの設定を編集しないでくだ
さい。
n デフォルト ポリシーの名前や説明、または vSAN ストレージ プロバイダの仕様は編集できません。ポリシー ルールを含む他のすべてのパラメータは編集できます。
n デフォルト ポリシーは削除できません。
n 仮想マシンをプロビジョニングするときに割り当てたポリシーに vSAN 固有のルールが含まれていない場合は、
デフォルト ストレージ ポリシーが割り当てられます。
vSAN データストアへのデフォルト ストレージ ポリシーの割り当て
ユーザー定義のストレージ ポリシーをデフォルト ポリシーとしてデータストアに割り当てて、要件を満たすストレ
ージ ポリシーを再利用できます。
前提条件
デフォルト ポリシーとして vSAN データストアに割り当てる仮想マシン ストレージ ポリシーが、vSAN クラスタ内
の仮想マシンの要件を満たしていることを確認します。
手順
1 vSAN データストアに移動します。
2 [構成] をクリックします。
VMware Cloud on AWS データセンターの管理
VMware, Inc. 78
3 [全般] で、デフォルト ストレージ ポリシーの [編集] ボタンをクリックして、デフォルト ポリシーとして vSAN データストアに割り当てるストレージ ポリシーを選択します。
vSAN のデフォルト ストレージ ポリシーや、vSAN のルール セットが定義されたユーザー定義のストレージ ポリシーなど、vSAN のデータストアと互換性のあるストレージ ポリシーのリストが表示されます。
4 ポリシーを選択し、[OK] をクリックします。
データストアのストレージ ポリシーを明示的に指定しないで新しい仮想マシンをプロビジョニングすると、この
ストレージ ポリシーがデフォルト ポリシーとして適用されます。
次のステップ
仮想マシンの新しいストレージ ポリシーを定義できます。 vSAN の仮想マシン ストレージ ポリシーの定義を参照し
てください。
vSAN の仮想マシン ストレージ ポリシーの定義
ストレージ ポリシーを作成して、仮想マシンとその仮想ディスクのストレージ要件を定義できます。このポリシーで
は、vSAN データストアでサポートされるストレージ機能を参照します。
手順
1 vSphere Client で [メニュー] - [ポリシーおよびプロファイル] をクリックしてから、[仮想マシン ストレージ ポリシー] の順にクリックします。
2 [仮想マシン ストレージ ポリシーの作成] をクリックします。
3 [名前および説明] ページで、次の操作を実行します。
a vCenter Server を選択したままにします。
b ストレージ ポリシーの名前と説明を入力して、[次へ] をクリックします。
4 vSAN ページで [可用性] および [詳細] 属性を指定し、[次へ] をクリックします。
デフォルト値はさまざまな状況に適しています。各属性の詳細については、 vSAN のポリシーを参照してくださ
い。
5 [ストレージ互換性] ページでこのポリシーに適合するデータストアのリストを確認し、[次へ] をクリックします。
データストアが適格と見なされるために、ポリシー内のすべてのルール セットを満たす必要はありません。デー
タストアは、少なくとも 1 つのルール セットと、そのセット内のすべてのルールを満たす必要があります。
vSAN データストアが、ストレージ ポリシーに設定されている要件を持たし、互換性のあるデータストアのリス
トに表示されていることを確認します。
6 [設定の確認] ページでポリシーの設定を確認し、[終了] をクリックします。
次のステップ
このポリシーを仮想マシンとその仮想ディスクに割り当てます。vSAN では、ポリシーで指定された要件に沿って仮
想マシン オブジェクトを配置します。仮想マシン オブジェクトへのストレージ ポリシーの適用の詳細については、
vSphere のストレージドキュメントを参照してください。
VMware Cloud on AWS データセンターの管理
VMware, Inc. 79
仮想マシンへのストレージ ポリシーの割り当て
仮想マシンの初期展開、またはクローン作成や移行などの他の仮想マシン操作の実行時に、仮想マシン ストレージ ポリシーを割り当てることができます。
ここでは、仮想マシンの作成時に仮想マシン ストレージ ポリシーを割り当てる方法を説明します。クローン作成や
テンプレートからの展開など、その他の展開方法については、『vSphere の仮想マシン管理』ドキュメントを参照し
てください。
同じストレージ ポリシーを、仮想マシンの構成ファイルとそのすべての仮想ディスクに適用することができます。仮
想ディスクと構成ファイルのストレージ要件が異なる場合は、別のストレージ ポリシーを仮想マシンの構成ファイル
および選択した仮想ディスクに関連付けることができます。
手順
1 vSphere Client で、仮想マシンのプロビジョニング プロセスを開始し、適切な手順に従ってください。
2 すべての仮想マシンのすべてのファイルおよびディスクに同じストレージ ポリシーを割り当てます。
a [ストレージの選択] ページで、[仮想マシン ストレージ ポリシー] ドロップダウン メニューからストレージ
ポリシーを選択します。
ストレージ ポリシーは、その設定に基づいて、すべてのデータストアを互換性があるものとないものに分類
します。ポリシーが特定のストレージ エンティティ(Virtual Volumes など)から提供されるデータ サービ
スを参照する場合、互換性リストには、そのタイプのストレージのみを示すデータストアが含まれます。
b 互換性のあるデータストアのリストから適切なデータストアを選択します。
そのデータストアは、仮想マシン構成ファイルとすべての仮想ディスクのターゲット ストレージ リソース
となります。
3 仮想ディスクの仮想マシン ストレージ ポリシーを変更します。
仮想ディスクごとにストレージ配置の要件が異なる場合は、このオプションを使用します。このオプションを使
用して、キャッシュ、レプリケーションなどの I/O フィルタ サービスを仮想ディスクで有効にすることもできま
す。
a [ハードウェアのカスタマイズ] ページで、[新規ハード ディスク] ペインを展開します。
b [仮想マシン ストレージ ポリシー] ドロップダウン メニューから、仮想ディスクに割り当てるストレージ ポリシーを選択します。
4 仮想マシンのプロビジョニング プロセスを完了します。
仮想マシンの作成後は、割り当てられたストレージ ポリシーとそのコンプライアンス ステータスが [サマリ] タブに
表示されます。
次のステップ
構成ファイルまたは仮想ディスクのストレージ配置要件を変える場合は、後で仮想マシン ポリシーの割り当てを変更
できます。
VMware Cloud on AWS データセンターの管理
VMware, Inc. 80
VMware Cloud on AWS のワークロード ネットワーク 9SDDC 内のワークロード仮想マシンのネットワークはコンピューティング ゲートウェイ経由でルーティングされ、そ
れにより SDDC 内で実行されている仮想マシンに North-South ネットワーク接続が提供されます。
SDDC ネットワークの詳細については、『VMware Cloud on AWS Networking and Security』の NSX-T ネットワ
ークの概念を参照してください。
この章には、次のトピックが含まれています。
n コンピューティング ネットワーク セグメントの作成
n コンピューティング ネットワーク セグメントへの仮想マシンの接続またはワークロード仮想マシンの分離
コンピューティング ネットワーク セグメントの作成
単一ホスト スタータ SDDC が、sddc-cgw-network-1 という名前の単一ルーティング ネットワーク セグメントを
使用して作成されます。このネットワークは、SDDC 管理ネットワーク用に選択した CIDR ブロックと競合しない限
り、CIDR ブロック 192.168.1.0/24 を使用します。この場合、デフォルトのネットワークは CIDR ブロック
172.10.1.0/24 を使用します。
マルチホスト SDDC はデフォルトのネットワーク セグメントを使用して作成されないため、ワークロード仮想マシ
ン用に少なくとも 1 つ作成する必要があります。VMC コンソールを使用すると、追加のネットワーク セグメントを
作成したり、使用しなくなったセグメントを削除したりできます。
手順
1 ネットワーク セグメントを作成します。
単一ホストによるスタータ SDDC を使用していて、そのデフォルト セグメントを使用する場合、このステップ
はスキップできます。
2 コンピューティング ゲートウェイのファイアウォール ルールを追加または変更します。
デフォルトでは、コンピューティング ゲートウェイはすべてのアップリンクへのトラフィックをブロックしま
す。ワークロード仮想マシンが、接続されているセグメントの外と通信できるようにするには、[コンピューティ
ング ゲートウェイ] ファイアウォール ルールを追加する必要があります。
VMware, Inc. 81
次のステップ
論理ネットワーク セグメントを作成すると、ここにワークロード仮想マシンを接続できます。必要に応じて、セグメ
ントごとに DNS ゾーンや DHCP リレーなどの追加の機能を設定できます。
コンピューティング ネットワーク セグメントへの仮想マシンの接続
またはワークロード仮想マシンの分離
vSphere Web Client を使用して、コンピューティング ネットワーク セグメントへのワークロード仮想マシンの接
続を管理します。
前提条件
SDDC コンピューティング ネットワークには、1 つ以上のセグメントが必要です。コンピューティング ネットワー
ク セグメントの作成を参照してください。
手順
1 SDDC の vSphere Client にログインします。
2 [メニュー] - [グローバル インベントリ リスト] の順に選択します。
3 [論理ネットワーク] を選択します。
4 [vCenter Server] ドロップダウン メニューで、対象の論理ネットワークを管理する vCenter Server を選択しま
す。
5 論理ネットワーク名の横をクリックして選択します。
6 仮想マシンの接続または切断のいずれかを選択します。
n [仮想マシンの接続] をクリックし、選択したネットワークに仮想マシンを接続します。
n 選択したネットワークから仮想マシンを切断するには、[仮想マシンの切断]をクリックします。
7 接続または切断する仮想マシンを選択し、[>>] をクリックします。[選択したオブジェクト] 列に移動して、[次へ] をクリックします。
8 各仮想マシンに対して、接続する仮想 NIC を選択し、[次へ] をクリックします。
9 [終了] をクリックします。
VMware Cloud on AWS データセンターの管理
VMware, Inc. 82
vSphere のタグおよび属性 10タグと属性を使用すると、vSphere インベントリ内のオブジェクトにメタデータを添付して、これらのオブジェクト
の並べ替えや検索を簡単に行うことができます。
タグとは、vSphere インベントリのオブジェクトに適用できるラベルです。タグを作成したら、そのタグをカテゴリ
に割り当てます。カテゴリを使用すると、関連するタグをまとめてグループ化できます。カテゴリを定義すると、そ
のタグのオブジェクト タイプや、カテゴリ内の複数のタグを 1 つのオブジェクトに適用できるようにするかどうかを
指定することができます。
たとえば、ゲスト OS のタイプごとに仮想マシンをタグ付けする場合は、「operating system」というカテゴリを作
成できます。そのカテゴリが仮想マシンのみに適用され、どんな場合でも 1 つのタグしか 1 つの仮想マシンに適用で
きないように指定できます。このカテゴリ内のタグは、Windows、Linux、Mac OS などです。
タグおよびカテゴリは、複数の vCenter Server インスタンスにまたがって使用することができます。
n 複数のオンプレミス vCenter Server インスタンスが、拡張リンク モードを使用するように構成されている場合
は、それらのすべての vCenter Server インスタンスにわたって、タグおよびタグ カテゴリが複製されます。
n ハイブリッド リンク モードを使用している場合は、リンクされたドメイン全体でタグおよびタグ カテゴリが維
持されます。つまり、オンプレミス Software-Defined Data Center (SDDC) および VMware Cloud on AWS SDDC でタグとタグ属性が共有されます。
VMware Cloud on AWS は、vSphere のタグおよび属性について、オンプレミス SDDC と同じタスク セットをサ
ポートします。
この章には、次のトピックが含まれています。
n タグ カテゴリの作成、編集、または削除
n タグの作成、編集、または削除
n タグの割り当てまたは削除
n タグ オブジェクトに対する権限
n カスタム属性の追加と編集
VMware, Inc. 83
タグ カテゴリの作成、編集、または削除
カテゴリを使用してタグをグループ化し、オブジェクトへのタグの適用方法を定義します。vSphere Client からタグ
カテゴリを作成、編集、および削除します。
ここで説明するように、タグ カテゴリを明示的に作成することも、タグ作成プロセスの一部としてタグ カテゴリを
作成することもできます。各タグは、少なくとも 1 つのタグ カテゴリに属している必要があります。
前提条件
必要な権限は、実行するタスクによって異なります。
タスク 権限
タグ カテゴリの作成 ルート vCenter Server 上の vSphere タグ付け.vSphere タグ カテゴリ
の作成
タグ カテゴリの編集 ルート vCenter Server 上の vSphere タグ付け.vSphere タグ カテゴリ
の編集
タグ カテゴリの削除 ルート vCenter Server 上の vSphere タグ付け.vSphere タグ カテゴリ
の削除
手順
1 vSphere Client で、[メニュー] - [タグとカスタム属性] の順にクリックします。
2 [タグ] タブ、[カテゴリ] の順にクリックします。
3 実行するタスクを開始します。
オプション 説明
タグ カテゴリの作成 [新しいカテゴリ] アイコンをクリックします。
タグ カテゴリの編集 カテゴリを選択し、[カテゴリの編集] アイコンをクリックします。
タグ カテゴリの削除 リストからカテゴリを選択し、[カテゴリの削除] アイコンをクリックします。
4 カテゴリ オプションを編集します。
オプション 説明
カテゴリ名 カテゴリ名は、現在選択している vCenter Server システム内で一意である必要があります。
説明 カテゴリの目的や用途を説明するテキストを入力できます。
VMware Cloud on AWS データセンターの管理
VMware, Inc. 84
オプション 説明
オブジェクトあたりのタグ数 n [1 つのタグ] を選択した場合は、このカテゴリの 1 つのタグのみをオブジェクトに適用で
きます。
このオプションは、タグが相互に排他的なカテゴリで使用します。たとえば、High、
Medium、Low というタグがある Priority というカテゴリでは、各オブジェクトに 1 つの優先度のみ設定できるため、オブジェクトごとのタグの数は 1 つになります。
n [複数のタグ] を選択した場合は、そのカテゴリの複数のタグをオブジェクトに適用できま
す。
このオプションは、タグが相互に排他的でないカテゴリで使用します。
オブジェクトあたりのタグ数を設定した後で、[1 つのタグ] を [複数のタグ] に変更することは
できますが、[複数のタグ] を [1 つのタグ] に変更することはできません。
関連付け可能なオブジェクト タイプ このカテゴリのタグをすべてのオブジェクトに割り当てるか、仮想マシンやデータストアなど、
特定タイプのオブジェクトのみに割り当てるかを選択します。
関連付け可能なオブジェクト タイプの変更は制限されます。
n 最初に単一のオブジェクト タイプを選択した場合は、後で、すべてのオブジェクト タイプ
に対して機能するようにカテゴリを変更できます。
n 最初にすべてのオブジェクトを選択した場合は、後でカテゴリを制限することはできませ
ん。
5 [OK] または [はい] をクリックして確認します。
タグの作成、編集、または削除
タグを使用してメタデータをインベントリ オブジェクトに追加します。インベントリ オブジェクトに関する情報を
タグに記録し、そのタグを使用して検索することができます。
手順
1 vSphere Client で、[メニュー] - [タグとカスタム属性] の順にクリックします。
2 [タグ] をクリックします。
3 タスクを実行します。
オプション 説明
タグの作成 a [新しいタグ] アイコンをクリックします。
b [名前] と [説明](オプション)を指定します。
c [カテゴリ] ドロップダウン メニューで、既存のカテゴリを選択するか、カテゴリを作成し
ます。
[新しいカテゴリ] を選択すると、ダイアログ ボックスが展開されて、カテゴリを作成する
ためのオプションが表示されます。タグ カテゴリの作成、編集、または削除を参照してく
ださい。
タグの編集 カテゴリを選択し、[カテゴリの編集] アイコンをクリックします。
タグの削除 リストからカテゴリを選択し、[カテゴリの削除] アイコンをクリックします。
4 [OK] をクリックします。
VMware Cloud on AWS データセンターの管理
VMware, Inc. 85
タグの割り当てまたは削除
タグを作成したら、これらのタグを vCenter Server インベントリ内のオブジェクトにメタデータとして適用するか、
削除することができます。
手順
1 vSphere Client インベントリで、オブジェクトに移動して参照します。
2 [アクション] メニューから [タグとカスタム属性] - [タグの割り当て] の順に選択します。
3 リストからタグを選択し、[割り当て] をクリックします。
後で同じプロセスを使用してタグを削除できます。
4 [アクション] メニューから [タグとカスタム属性] - [タグを削除] の順で選択します。
5 リストからタグを選択し、[削除] をクリックします。
タグ オブジェクトに対する権限
vCenter Server オブジェクト階層では、タグ オブジェクトは vCenter Server の子でなく、vCenter Server のルー
ト レベルに作成されます。複数の vCenter Server インスタンスがある環境では、タグ オブジェクトは vCenter Server インスタンス全体で共有されます。タグ オブジェクトに対する権限は、vCenter Server オブジェクト階層の
その他のオブジェクトに対する権限とは機能が異なります。
グローバル権限またはタグ オブジェクトに割り当てられた権限のみ適用される
仮想マシンなどの vCenter Server インベントリ オブジェクト上のユーザーに権限を付与すると、そのユーザーは権
限に関連付けられたタスクを実行できるようになります。ただし、ユーザーはオブジェクト上のタグ操作を実行でき
ません。
たとえば、ホスト TPA に vSphere タグを割り当て権限をユーザー Dana に付与しても、その権限によって Dana がホスト TPA にタグを割り当てることはできません。Dana は vSphere タグを割り当て権限を root レベルで取得す
る(つまりグローバル権限を取得する)か、そのタグ オブジェクトに対する権限を持つ必要があります。
表 10-1. グローバル権限およびタグ オブジェクト権限が、ユーザーの操作に与える影響
グローバル権限 タグレベル権限
vCenter Server オブジェクトレ
ベル権限 有効な権限
タグ付け権限が割り当てられていな
い。
Dana には、そのタグに関して、
vSphere タグを割り当てまたは
割り当て解除権限がある。
Dana には、ESXi ホスト TPA における vSphere タグを削除権限
がある。
Dana には、そのタグに関して、
vSphere タグを割り当てまたは割
り当て解除権限がある。
Dana には、vSphere タグを割り当
てまたは割り当て解除権限がある。
そのタグに関する権限が割り当て
られていない。
Dana には、ESXi ホスト TPA における vSphere タグを削除権限
がある。
Dana には、vSphere タグを割り当
てまたは割り当て解除グローバル権
限がある。タグ レベルの権限を含
む。
タグ付け権限が割り当てられていな
い。
そのタグに関する権限が割り当て
られていない。
Dana には、ESXi ホスト TPA における vSphere タグを割り当て
または割り当て解除権限がある。
Dana には、ホスト TPA をはじめ、
どのオブジェクトに対してもタグ付
け権限がない。
VMware Cloud on AWS データセンターの管理
VMware, Inc. 86
タグ オブジェクト権限を補足するグローバル権限
グローバル権限とは、ルート オブジェクトに関して割り当てられる権限であり、タグ オブジェクトに対する権限が
制限されている場合に、タグ オブジェクトに対する権限を補足します。vCenter Server 権限は、タグ オブジェクト
に影響しません。
たとえば、グローバル権限を使用して、root レベルで vSphere タグを削除権限をユーザー Robin に割り当てると仮
定します。タグ Production に対しては、vSphere タグを削除権限を Robin に割り当てません。この場合、Robin はグローバル権限を持っているため、タグ Production に対して権限を持ちます。グローバル権限を変更しない限
り、権限を制限することはできません。
表 10-2. タグレベル権限を補足するグローバル権限
グローバル権限 タグレベル権限 有効な権限
Robin には、vSphere タグを削除権限が
ある。
Robin には、そのタグに関して、
vSphere タグを削除権限がない。
Robin には、vSphere タグを削除権限がある。
タグ付け権限が割り当てられていない。 Robin には、そのタグに関して、
vSphere タグを削除権限が割り当てら
れていない。
Robin には、vSphere タグを削除権限がない。
グローバル権限を拡張できるタグレベル権限
タグレベル権限を使用して、グローバル権限を拡張できます。つまり、ユーザーは 1 つのタグに関して、グローバル
権限とタグレベル権限の両方を持つことができます。
表 10-3. タグレベル権限を拡張するグローバル権限
グローバル権限 タグレベル権限 有効な権限
Lee には、vSphere タグを割り当てまた
は割り当て解除権限がある。
Lee には、vSphere タグを削除権限が
ある。
Lee には、そのタグに関して、vSphere タグを割り当て権限
と vSphere タグを削除権限がある。
タグ付け権限が割り当てられていない。 Lee には、そのタグに関して、vSphere タグを削除権限が割り当てられている。
Lee には、そのタグに関して、vSphere タグを削除権限があ
る。
カスタム属性の追加と編集
vSphere Client では、カスタム属性を作成し、その属性をホスト、仮想マシン、クラスタ、ネットワークなどのオブ
ジェクトに関連付けることができます。カスタム属性を編集することもできます。
属性を作成したら、各仮想マシンの属性に適切な値を設定します。この値は、仮想マシンではなく、vCenter Server に保存されます。新しい属性を使用して、仮想マシンをフィルタリングします。カスタム属性が不要になった場合は
削除します。カスタム属性は、常に文字列で指定します。
たとえば、複数の製品をセールス担当者別にソートするとします。
1 その場合は、セールス担当者名の「Name」カスタム属性を作成します。
2 「Name」カスタム属性列をリスト ビューの 1 つに追加し、各製品のエントリに名前を追加します。
VMware Cloud on AWS データセンターの管理
VMware, Inc. 87
3 「Name」列をクリックすると、セールス担当者をアルファベット順にソートできます。
注: タグおよびタグ カテゴリは、オブジェクトをきめ細やかにタグ付けするメカニズムをサポートしています。カ
スタム属性ではなく、タグおよびタグ カテゴリの使用を検討してください。
手順
1 vSphere Client で、[メニュー] - [タグとカスタム属性] の順に選択します。
2 [カスタム属性] をクリックします。
vCenter Server に対して現在定義されているすべてのカスタム属性が表示されます。
3 [追加] をクリックします。
4 カスタム属性の値を入力します。
a [属性] テキスト ボックスに属性の名前を入力します。
b [タイプ] ドロップダウン メニューから属性の種類を選択します。
c [OK] をクリックします。
特定のオブジェクトに属性を定義すると、インベントリ内の同じタイプのすべてのオブジェクトで利用できるよ
うになります。ただし、指定した値が適用されるのは、現在選択しているオブジェクトのみです。
5 後でカスタム属性を編集することができます。
a 属性を選択して [編集] をクリックします。
b 名前を変更します。
c 可能な場合は、タイプを変更します。
d [OK] をクリックします。
VMware Cloud on AWS データセンターの管理
VMware, Inc. 88