Skip navigation
2014

ネステッド ESXi 環境で検証をするとき、実環境に近づけたいなどの理由で

仮想スイッチ(のポートグループ)に VLAN を設定したいことがあると思います。


ネステッド ESXi 環境で VM の ネットワーク接続をする場合、

物理 ESXi の仮想スイッチから見ると通常は想定されないMACアドレスからの

通信を通す必要があります。


そのため、物理 ESXi(ネストではない外側の ESXi)の

仮想スイッチまたはポートグループで、

無差別モード(Promiscuous Mode)を許可 します。


そして、ネステッド ESXi の仮想スイッチ(vSS または vDS)で

ポートグループに VLAN ID を設定したい場合には、

物理 ESXi(ネストではない外側の ESXi)の

仮想スイッチまたはポートグループで、

無差別モードを許可して

さらに VLAN ID 4095 を設定 します。

 

ネステッド ESXi で特に VLAN 構成しない場合


この場合、物理 ESXi 側のポートグループでは 無差別モード を許可します。

Nested_esxi_vlan4095_1.png

 

ネステッド ESXi の仮想スイッチで VLAN を構成(VST)したい場合

  1. 物理 ESXi 側のポートグループでは
    無差別モード を許可VLAN ID 4095 を設定します。
    →通信は VLAN タグをつけたままネステッド ESXi へ。
  2. ネステッド ESXi 側のポートグループには VM に使用させる VLAN ID を設定します。
    → ここで VLAN タグを外す。

Nested_esxi_vlan4095_2.png


実際に設定するには、下記のように

物理 ESXi 側のポートグループの「全般」タブで VLAN 4095 を設定し、

vlan4095-1.png


「セキュリティ」 タブで 「無差別モード」 を 「承諾」 にします。

vlan4095-2.png


ネステッド ESXi には上記のポートグループを接続します。

そして、仮想スイッチやポートグループでは、

特にネストされていることは意識せず、VLAN ID を設定します。


ちなみに、ESXi の VLAN についてはこのあたりを参照してください。

ESXi および vCenter Server 5.5 のドキュメント

vSphere ネットワーク > ネットワークの概要

VLAN 構成

http://pubs.vmware.com/vsphere-55/topic/com.vmware.vsphere.networking.doc/GUID-7225A28C-DAAB-4E90-AE8C-795A755FBE27.html


仮想スイッチ VLAN タギング (VST Mode) のサンプル構成 (2053120)

http://kb.vmware.com/kb/2053120

 

 

以上、ネステッド ESXi で VLAN 4095 を利用する話でした。

最近、趣味で VCA-WM(VMware Certified Associate - Workforce Mobility)
という資格を取得したのですが、勉強の過程で Horizon Mirage について
きわめてわかりやすい動画を見つけました。


Horizon Mirage 概要(YouTubeです)
http://www.youtube.com/watch?v=CrsQ91ne4a8

  • Mr. IT Guy が繊細な腕の動きで説明します。(メガネ男子)
  • わずか 2分12秒で Mirage 概要がわかります。
  • なんと、日本語音声かつ日本語字幕つきです。

 

ちなみに、この人が Mr. IT Guy です。

mirage_mr_it_guy.png

 

VCA-WM については下記を参照してください。

VMware 認定アソシエイト – 作業者の移動性(VCA-WM)
http://mylearn.vmware.com/mgrReg/plan.cfm?plan=42501&ui=www_cert

何となく 「Workforce Mobility」 の日本語訳については
「従業員のモビリティ」 とかでもよい気が・・・


以上、Mirage 動画の紹介でした。

いまさらですが、vSphere 5.1 (おもに vCenter 5.1 と ESXi)の

ユーザ認証を絵的にしてみました。

 

vSphere 5.1 までのユーザ認証

 

まず、以前の自分のポストですが・・・

vCenter 5.1 入門 その3 (vCenter SSO のポイント)

vSphere Client でも、
Web Client (従来からあったものとは別の vCenter 5.1 からの)でも、
vCenter 5.1 への接続では vCenter SSO の認証が使用されます。
ただし、
vSphere Client でも、コンソール/SSH 等でのログインでも
ESXi への直接ログインでは、vCenter SSO の認証は使用されません。

 

ユーザ認証については 「どこからどこの認証で」 がわかりにくいのでまとめてみました。
たとえば、クライアントPCから vCenter と ESXi の操作をする場合を比べてみると、
下記のようなイメージになっています。


vSphere 5.1 からは、下記のように
vCenter 環境では主に Web Client を使用するように変更されました。

「SSO認証」 がついている矢印では、vCenter SSO によるユーザ認証です。
vc51_user_auth2.png

よく使われるユーザ認証は、上記の3つだと思います。

  1. Web ブラウザから Web Client 経由で vCenter にアクセス
    → この時にユーザ認証は、vCenter SSO によるものです。
  2. vSphere Client から vCenter 経由でESXi にアクセス
    → 5.1 からは、vCenter でのユーザ認証も、vCenter SSO によるものです。
  3. vSphere Client から ESXi に直接アクセス
    → 従来通り、ESXi でのユーザ認証は、ESXi 自身によるものです。
    →vMA や SSH などによるESXi へのアクセスも、これと同じです。

 

vSphere 5.0 までのユーザ認証


vSphere 5.0 までは、主に vSphere Client を使用していて
ユーザ認証ケースは下記の2つだと思います。

  1. vSphere Client から vCenter 経由でESXi にアクセス
    → この場合、vCenter でのユーザ認証は、vCenter 自身によるものです。
  2. vSphere Client から ESXi に直接アクセス
    → この場合、ESXi でのユーザ認証は、ESXi 自身によるものです。

 

ちなみに、このリリースまででも Web ベースのインターフェースがありましたが、

今回は省略で・・・
vc51_user_auth1.png

vSenter SSO での認証によって変化があったのは、

vCenter へのログインで、ESXi へのアクセスはvSphere 5.1 では変更ありません。


ESXi への直接アクセス(vSphere 5.0まで / vSphere 5.1 以降 で共通)

 

ESXi へのログインは、基本的に ESXi 自身による認証となります。

  • ESXi は、ESXi 自身のローカルユーザで認証します。
  • ただし、ESXi に AD 連携の設定をしていたら AD のユーザでも認証できます。

 

なお、vCenter で ESXi が管理されている環境下では、
vCenter のインベントリ情報の不整合を避けるため
ESXi への直接ログインはできるだけ避けて
本当に必要な場合以外は vCenter 経由で ESXi にアクセスするようにします。


★vCenter 管理下の ESXi に直接ログインするケースの例

  • 何らかの障害などで、どうしても vCenter から ESXi にアクセスできなくなってしまった場合
  • vCenter 自体が VM で構築されていて、その VM 自体を起動したい場合

 

ユーザ認証系については、詳しくはこちらを参照してください・・・

ESXi および vCenter Server 製品のドキュメント

リリース 5.1

vSphere セキュリティ ガイド

http://pubs.vmware.com/vsphere-51/topic/com.vmware.ICbase/PDF/vsphere-esxi-vcenter-server-511-security-guide.pdf

 

ちなみに、これからは Web Client をメインで使用することになるそうです。

現状で最新の vSphere 5.5 でも vSphere Client でしかできないこともありますが、

そのうち ESXi 自体を管理するツールも Web ベースになるのかもしれません。

 

以上、vSphere 5.1 でのユーザ認証についてでした。

 

こちらもどうぞ・・・

vCenter 5.1 入門 その1 (構成コンポーネントの変更点について)

vCenter 5.1 入門 その2 (Simple Install について) 

vCenter 5.1 入門 その3 (vCenter SSO のポイント)

vCenter 5.1 入門 その4 (ADユーザ認証について)

今回は、vCenter 5.1 と Active Directory(AD) についてです。

Web Client から AD ユーザでログインして、vCenter での管理操作をできるようにしてみます。

vCenter 5.1 から vCenter SSO が登場して、AD と認証連携 をする機会が多いと思うので

参考になればと思います・・・

 

今回の流れ

  • AD に vCenter で仮想マシンを管理する用途のグループを作成しておきます。
  • そのADグループに vCenter のロールを付与します。
  • AD ユーザで Web Client からログインしてみます。

 

vCenter 5.1 での認証には、vCenter SSO が使用されるため、

この設定をするには AD ドメインが vCener SSO に ID ソースとして登録されている必要があります。


1. ADへの ユーザ / グループ アカウントの作成


今回の例では、「vmad.local(VMAD)」 という名前の AD ドメインを検証用に構築しています。

ユーザとグループオブジェクトを格納するOU「Test_OU」を作成し、その中に

vCenter のロールを付与するため、AD グループ「vcusers」 と AD ユーザ「vcuser1」を作成しています。

これは、AD のドメインコントローラ(vCenter とは別のサーバ)で実施します。

※ちなみに、AD のドメインコントローラに vCenter 5.1 はインストールできません。

 

vCener のロールは、ユーザ単位よりもグループ単位で割り当てたほうが管理しやすいため

vcusers グループにロールを割り当てる想定で手順を進めます。

AD ユーザ / グループ側には vCenter 特有のプロパティ設定はなく、

AD で認証可能なユーザであれば vCenter SSO の認証でも使用できます。

※ユーザが vCenter でどんな操作ができるかは、vCenter のロールで制御します。

vc51u1-ad-logon_ad1.png

vcusers グループには、vcuser1 を所属させています。

vc51u1-ad-logon_ad2.png

 

2. AD グループへのロール付与

 

例として、vCenter のロール「仮想マシン パワー ユーザー」 を割り当ててみます。

このロールを付与したユーザ(グループ)は仮想マシン管理ができるようになります。

このロールは、vCenter にデフォルトで存在するサンプルロールです。
Windows の「Power Users」グループ に近いイメージのものだと考えられます。

 

まず、vCenter のシステム管理者ロールをもつユーザ(例では AD の administrator ユーザ)で

Web Client にログインします。

vc51u1-ad-logon_vc1.png

 

ログインしたら、インベントリで 「vCenter」 をクリックします。

vc51u1-ad-logon_vc2.png

 

インベントリ リスト で「vCener Server」を開きます。

vc51u1-ad-logon_vc3.png

 

左側のウインドウに vCenter の名前が表示されるので、それをクリックしてから

「管理」 → 「権限」 を開き、「+」(権限の追加)をクリックします。

vc51u1-ad-logon_vc5.png

 

「権限の追加」 画面が表示されるので、「追加」 をクリックします。

vc51u1-ad-logon_vc6.png

 

「ユーザ/グループの選択」 画面が表示されるので、

「ドメイン:」 でロールを付与したい AD ドメイン 名前を選択します。

そして 検索窓に追加したい ユーザ/グループ を入力すると、下記のように

特定の ユーザ/グループ (今回は vcusers グループ) だけを表示することができます。

 

ユーザ もしくは グループ を選択してから 「追加」 をクリックして、

「ユーザー:」 か「グループ:」 にそのアカウントが表示されたら「OK」をクリックします。

vc51u1-ad-logon_vc7.png

 

「権限の追加」 画面に、vcusers グループが追加されました。

そして、「割り当てられたロール」 側の画面で

ロール(今回は「仮想マシン パワー ユーザー」)を選択して 「OK」 をクリックします。

vc51u1-ad-logon_vc8.png

 

これで、AD グループ「vcusers」 に対して vCenter のロールを付与できました。

vc51u1-ad-logon_vc9.png

 

3. AD ユーザでの Web Client ログオン確認

 

ロールを割り当てた AD ユーザ「vcuser1」で、Web Client からログインしてみます。

vc51u1-ad-logon_user1a.png

 

ログインしたユーザは、与えられたロール(に含まれる権限)の範囲で vCener の操作ができます。

権限がないオブジェクトやメニューは、表示されなかったりグレーアウトしたりします。

 

この AD ユーザには仮想マシンを管理するロールを割り当てているため、

たとえばデータセンタに対する「アクション」を見てみると、

多くのメニューがグレーアウトされています。

vc51u1-ad-logon_user3.png

 

vCenter の「システム管理者」をもつユーザでは
上記と同じデータセンタに対する「アクション」でも多くのメニューがアクティブになります。

vc51u1-ad-logon_user4.png

 

ちなみに、vCenter のロールが何も与えられていない AD ユーザでも、

AD が vCenter SSO の ID ソースに登録されていれば Web Client にログインできてしまいます。

しかし、その場合は下記の vcuser2 ユーザのように、インベントリリストに何も表示されないため

何もすることができません。※vcuser2 ユーザは、AD に作成しただけのユーザです。

vc51u1-ad-logon_user5.png

 

vSphere Client でも同様に vCenter SSO による AD 認証で

vCenter にログオンすることができます。

 

こちらも参考にしていただければと思います。

vCenter 5.1 入門 その1 (構成コンポーネントの変更点について)

vCenter 5.1 入門 その2 (Simple Install について) 

vCenter 5.1 入門 その3 (vCenter SSO のポイント)

 

以上、vCenter 5.1 と AD ユーザの話でした。

vCenter 5.1 では、ユーザ認証で
新規追加されたコンポーネント「vCenter Single Sign On」を使用します。

「どこの認証で使われるのか」などよく話題になるので、

いくつかポイントを書いておこうと思います。

 

主にどの部分の認証で使用されるのかというと・・・

 

vSphere Client でも、

Web Client (従来からあったものとは別の vCenter 5.1 からの)でも、
vCenter 5.1 への接続では vCenter SSO の認証が使用されます。

ただし、
vSphere Client でも、コンソール/SSH 等でのログインでも

ESXi への直接ログインでは、vCenter SSO の認証は使用されません。

 

IDソースとして使えるもの

vCenter SSO では、認証情報の確認先として
vCenter SSO サーバ自身の Windows ローカルユーザ情報のほかに
Active Directory(AD)や OpenLDAP が使用できます。

 

ESXi および vCenter Server 5.1 のドキュメント
vSphere セキュリティ > vCenter Server 認証およびユーザー管理 > vCenter Single Sign On の構成
ID ソースについて
https://pubs.vmware.com/vsphere-51/index.jsp#com.vmware.vsphere.security.doc/GUID-8F93FE75-BF91-4677-9344-73FE3906A3C8.html

 

vCenter SSO の管理ユーザ と 管理ツール


IDソースの追加や編集などの、vCenter SSO の設定ができるvCenter SSO 管理者として、

デフォルトで admin@System-Domain ユーザが用意されています。
※これは Windows のユーザではなく、vCener SSO コンポーネントがもつ独自のユーザです。

 

vCenter SSO を管理するには Web Client に admin@System-Domain でログインします。
それにより、vCenter SSO 管理者以外には表示されない設定画面が表示されるようになります。

vc51u1-ad-logon_sso1.png

 

Web Client の 画面上部に、vCenter SSO 管理者でログインしていることが表示されます。

たとえばホーム画面で「管理」をクリックすると・・・

vc51u1-ad-logon_sso2.png

 

vCenter SSO 管理者 以外には表示されない SSO 関連 の管理メニューが表示されます。

※これはvCenter Server の管理ロールを持つユーザだとしても表示されません。

 

「構成」 → 「アイデンティティ ソース」 を開くと、

IDソースの追加 / 編集 / 削除 などができる画面が表示されます。

vCenter SSO のインストール(もしくは Simple Install)のときに AD ドメインが自動検出できなかった場合や、

ID ソース(別の AD ドメインや OpenLDAP など) を追加するときは、この画面で設定します。

 

下の例では vCenter を Simple Install したままの状態ですが、3つの ID ソースが登録されています。

  • vCenter SSO のローカル認証情報(System-Domain)
  • ローカルコンピュータ(例では VCENTER51U1-2。vCenter SSO のコンピュータ名です。)
  • vCenter SSO の Windows が参加している AD ドメイン(例では vmad.local)

vc51u1-ad-logon_sso3.png

 

vCenter SSO の管理ユーザ のパスワードポリシーについて

 

vCenter SSO 管理者ユーザには、独自のパスワードポリシーがあります。
パスワード期限切れが通知されず、期限が切れるとログインできなくなるため、
admin@System-domain を普段あまり使わなそうな環境(たぶんほとんどの環境)では
期限切れにならないように定期的に変更するか、無期限(0日と設定)にするなどの対策が必要です。
※デフォルトだと 365日でパスワードが期限切れになります。

Resetting an expired password in vCenter Single Sign-On (SSO) (2035864)
http://kb.vmware.com/kb/2035864

※ちなみに、パスワードのリセット方法もあります・・・

 

パスワードポリシーの設定も、

vCenter SSO 管理者でログインした Web Client から変更できます。

ホーム画面の 「管理」 → 「構成」 → 「ポリシー」タブ → 「パスワードポリシー」 → 「編集」

※例ではデフォルトの 365日のままです。

vc51u1-ad-logon_sso4.png

パスワードポリシーについての詳細は下記のあたりを参照してください。

ESXi および vCenter Server 5.1 のドキュメント

vSphere セキュリティ > vCenter Server 認証およびユーザー管理 > vCenter Single Sign On の構成

vCenter Single Sign On のパスワード ポリシーの編集

https://pubs.vmware.com/vsphere-51/topic/com.vmware.vsphere.security.doc/GUID-B9C4409A-B053-40C3-96DE-232BB99AAA35.html

 

SSO の管理が終わったら、

Web Client からは、下記のようにログアウトします。

vc51u1-ad-logon_sso5.png

 

こちらもどうぞ。

vCenter 5.1 入門 その1 (構成コンポーネントの変更点について)

vCenter 5.1 入門 その2 (Simple Install について)

vCenter 5.1 入門 その4 (ADユーザ認証について)

 

以上。vCenter SSO についてでした・・・

Windows 版 vCenter 5.1 で複数コンポーネントをまとめて1台のサーバにインストールできる、
「Simple Install」 の実施例です。
※vCenter 5.5 だとまた事情がちょっと変わるので、5.1 のときだけ参考にしてください。

 

今回の構成

  • vCenter は 5.1 Update 1
  • OS: Windows Server 2008 R2 SP1
  • HWスペック: vCPU数2、メモリ8GB (ゲストOSです)
  • vCenter のコンピュータ名:  vcenter51u1-2 (FQDN はvcenter51u1-2.vmad.local)
  • AD のドメイン名: vmad.local (VMAD)
  • インストール実行ユーザは、AD ドメインのAdministratorです。(VMAD\Administrator)

 

今回の例では、「vCenter 5.1 Update 1」を使用していますが、
「5.1 Update 1c」や「5.1 Update 2」でもそんなに変わらないと思います。
※vCenter 5.1 は、できるだけ最新版がお勧めです。(いろいろバグ修正されているので)

 

1. Simple インストール準備


インストール開始前に、とくに下記の2点は要注意です。

 

★1 ログオンユーザを確認しておく。

Active Directory のユーザを vCenter SSO 認証で使用する場合は、
Simple Install を開始する際に、ドメインユーザでログインしておきます。

※これにより、ADドメインを vCener SSO に自動登録できます。

 

ログオンユーザがローカルユーザかADユーザか分からない場合、

(たとえば既に Administrator ユーザでログオンしているが
ローカルの Administrator か AD ユーザの Administrator か不安な場合)は
下記のように、環境変数などからも確認できます。

※コマンドプロンプトを起動して、set コマンドで環境変数を表示してみます。

 

Windows ローカルユーザでログインしている場合
下記のように、ログオンサーバ(Windows 環境変数の LOGONSERVER)が、

インストール対象サーバのコンピュータ名になります。

この場合は、AD ユーザで Windows にログインしなおした方がよいです。

CMD> hostname

vcenter51u1-2

CMD> set LOGONSERVER
LOGONSERVER=\\VCENTER51U1-2  ★コンピュータ名と同じなのでNG。

 

AD ユーザでログオンできている場合
下記のように、ログオンサーバがインストール対象サーバのコンピュータ名ではなく
AD(ドメインコントローラ)のコンピュータ名になります。

※例では「LAB-DC1」というドメインコントローラの AD ユーザでログインしています。

CMD> hostname

vcenter51u1-2

CMD> set LOGONSERVER
LOGONSERVER=\\LAB-DC1

 

★2 vCenter をインストールするサーバが名前解決できることを確認しておく。

vCenter 5.1 のインストールでは、サーバの名前解決ができる必要があるので

vCenter の FQDN を IP アドレス に名前解決できることを確認しておきます。

ただし、既に Windows が AD 参加 できていればそんなに問題にならないはずです。

※AD も DNS での名前解決を前提としているので・・・

 

名前解決できるかどうかは、下記のように nslookup コマンドなどで確認します。

CMD> nslookup vcenter51u1-2.vmad.local


サーバー:  lab-dc1.vmad.local
Address:  192.168.5.210

 

名前:    vcenter51u1-2.vmad.local
Address:  192.168.5.72

 

インストール処理中に下記のような警告が表示されることがありますが、

ちゃんと名前解決できることが確認できていれば無視できます。

vc51-simple09.png

 

2. Simple インストール

 

vCenter のインストールメディアから、Simple Install を開始します。

vc51-simple01.png

 

画面にしたがって、進めます・・・

vc51-simple02-04.png

 

vCenter SSO の 管理ユーザ(admin@System-Domain )のパスワードを設定します。

パスワードに特殊文字を使用する場合は要注意です。

「Error 29133. Administrator login error.」エラーにより vSphere 5.1 Single Sign On (SSO) のインストールに失敗する (2042672)

http://kb.vmware.com/kb/2042672

vc51-simple05.png

 

vCenter SSO 用のデータベースを指定します。

ここでは 同梱のSQL Server (ローカルの~)を選択します。

※vCenter Server 用のデータベースは、これとは別に後で指定します。

vc51-simple06.png

 

vCenter SSO のデータベースユーザに、パスワードを指定します。

同梱の SQL Server を使用する場合は、DB も この DB ユーザも自動作成されます。

ちなみに vCenter SSO 5.1 では RSA 社のコンポーネントを使っているようで、
ユーザ名が 「RSA_~」です 。RSAェ…

vc51-simple07.png

 

インストールする vCenter の完全修飾ドメイン名(FQDN)を入力します。

※基本的には自動入力されているので、それでよいはずです。

※この名前がちゃんと IP アドレスに解決できる必要があります。

vc51-simple08.png

 

名前解決の警告が出ることがあります。が

ちゃんと名前解決できていれば、無視して大丈夫です。

vc51-simple09.png

 

セキュリティ サポート プロバイダー インターフェイス サービス の実行ユーザを指定します。

デフォルトのまま次へ・・・

 

これは、vCenter SSO の一部としてインストールされる

Windows サービス「RSA SSPI Service」の実行ユーザとして指定されます。

「vCenter Single Sign On のプライマリノードと同じアカウントの仕様を推奨します」

という注記は、Simple Install では vCenter SSO が1台になるはずなので無視してよいです。

vc51-simple10.png

 

インストール先を指定します。これもできる限りデフォルトのままがよいと思います。

vc51-simple11.png

 

vCenter SSO で使用する(Lookup Service の)ポート番号を指定します。

これもデフォルトのまま(7444)にします。

vc51-simple12.png

 

Simple Install の処理を開始します。が、このあともウィザードは続きます。

vc51-simple13.png

 

インストール処理がしばらく続きます。

vCenter SSO や、SQL Server がインストールされます。(ここが休憩ポイントです・・・)

vc51-simple14.png

 

しばらくすると、vCenter 関連のウィザードが表示されます。

※Inventory Service については、特に個別のウィザードは出てきません。

 

ライセンスキーを入力して進めます。

※入力しないと評価版になりますが、後からでも入力可能です。

vc51-simple15.png

 

vCenter Server の Windows サービス実行ユーザを指定します。

※vCenter の管理者ユーザを指定するものではなく、サービスの実行ユーザを指定します。

完全修飾ドメイン名(FQDN)は、基本的に自動入力されるので、それでよいはずです。

vc51-simple17.png

 

vCenter でも、同梱のSQL Server を使用します。

vc51-simple16.png

 

vCenter でも名前解決の警告が出ることがありますが、

これも、実際に名前解決ができているのであれば無視します。

vc51-simple18.png

 

vCenter 関連サービスのポート番号を指定します。これもデフォルトで・・・

vc51-simple19.png

 

vCener のコンポーネントの一部が使用する Java VM のメモリサイズを指定します。

vc51-simple20.png

 

インストールを開始します。

vc51-simple21.png

 

しばらく待つと、インストールが完了します。

vc51-simple23-24.png


3. Web Client のインストール

 

Web Client は vCenter 5.1 の Simple Install に含まれないので、個別にインストールします。

スペースの都合により省略します・・・(ちなみに殆どデフォルトインストールです。)

 

他にもこんなポストしてみましたので、よろしければどうぞ・・・

vCenter 5.1 入門 その1 (構成コンポーネントの変更点について)

vCenter 5.1 入門 その3 (vCenter SSO のポイント)

vCenter 5.1 入門 その4 (ADユーザ認証について)

 

以上、vCenter 5.1 の Simple Install 例でした。

vCenter 5.1 から、vCenter を構成するコンポーネント構成が大きく変更されました。
すでに vCenter 5.5 がリリースされていますが、
まだあちこちで vCenter 5.1 で苦労している様子ですので

ちょっと情報をまとめておこうと思います。
※基本的に、Windows 版の vCenter 5.1 を想定しています。

 

予定として下記のあたりを書こうかと思います・・・そして書きました。(2014/2/17)


今回は、構成コンポーネントの変更点についてです。


vCenter 5.1 の構成コンポーネント


vCenter 5.1 の主要なコンポーネントは下記の4つです。

  • vCenter Single Sign On(vCenterSSO、VCSSO と呼ばれる)
  • vCenter Inventory Service
  • vCenter Server
  • Web Client(Web ブラザからアクセスするための WebClient サーバ)

ちなみに、上記の4つ以外に、従来通り vCenter 用データベースも必要です。

そして VCSSO も、vCenter とは別のDBを使用します。
(どちらも SQL Server や Oracle など)

 

これらのコンポーネント4つは、それぞれインストーラが別になっていて、
まとめて1台のサーバにでも、それそれ別のサーバにでもインストールすることができます。
ただし、大規模環境用の(ESXi を数十台管理するような)vCenter でないのであれば
できるだけ1台のサーバに収めたほうが、構成が簡潔になるので vCenter を管理しやすいと思います。

※あとは、どれくらい vCenter を重要視するかとか・・・
vc_comp1.png


vCenter コンポーネントの依存関係とインストール順序


コンポーネントにはそれぞれ依存関係があるため、
正しい順番でインストールする必要があります。

  • 最初に、認証基盤となる VCSSO をインストールする必要があります。
    残りの 3コンポーネント(Inventory Service、vCenter Server、Web Client)は、
    VCSSO の機能の一部である「vCenter Lookup Service」に
    登録されるため、VCSSO よりも後にインストールします。
    ※インストールに聞かれる TCP の7444番ポートは、このサービスで使用しています。
  • vCenter Service は、Inventory Service に依存するので
    先に Inventory Service をインストールします。


まとめると・・・

個別のインストールの場合は下記の順がおすすめです。

Web Client は VCSSO の後であればいつでもよいのですが、

VCSSO の管理操作でも使用されるので SSO の直後にしてみました。

  1. vCenter SSO
  2. Web Client
  3. vCenter Inventory Service
  4. vCenter Server


Simple インストール を使用する場合は必ず下記の順になります。

  1. Simple Install(VCSSO → Inventory → vCenter)
  2. Web Client

4つの vCener コンポーネントのうち、Web Client はSimple Install に含まれないので、
Simple Install のあとで個別でインストールします。

 

ちなみに、
VCSSO と、vCenter Service で同梱 DB ではない外部 DB サーバを利用する場合は、
それぞれのインストール前に構築しておく必要があります。


インストール時の注意点


vCenter SSO(VCSSO)について

  • かならず、最初にインストールします。
    また、各コンポーネントは VCSSO に登録されるため、
    他のコンポーネントをインストールするときは
    このVCSSO に関連するコンポーネントが起動している必要があります。
  • vCenter Server のように データベースを必要とするので、
    同梱の SQL Server を使用しない場合は事前に DB サーバを構築しておく必要があります。
    ただ、DB はあまり大きなサイズにならないので、個人的には同梱の DB でよい気がしています。
    ※詳しく調べていないのですが、SSO の構成情報や認証情報を格納しているようです。
    ※大規模な認証環境と連携するのであれば要注意かもしれません。
  • vCenter 5.1 環境では、AD 認証を使用することがこれまで以上に多いと思います。
    VCSSO 5.1 ではインストール時に、VCSSO の認証情報の確認先(ID ソース)として
    インストーラ実行したユーザの AD ドメインを自動登録してくれます。
    そのため、Windows に AD ユーザでログインした状態で、
    VCSSO インストール もしくは Simple インストールを実行した方がよいです。
    ちなみに、Windows のローカルユーザでインストールを開始すると下記のように警告が出ます。
    vc_comp2.png
    「現在ログインしているユーザは、Active Direcory のユーザーではなりません。
    アイデンティティ ソースの自動検出は機能しません。」

 

Web Client サーバについて

  • 「従来通り vSphere Client を使用するから Web Client いらない」
    といわず、事実上インストール必須コンポーネントです。
    vSphere 5.1 からの新機能は、殆ど Web Client でしか使用できません。
    また、VCSSO の管理操作でも使用します。

 

インストール全体で

  • VCSSO とほかのコンポーネントの連携などの都合により、
    ホスト名(コンピュータ名)変更は、SSL 証明書入れ替えなどが必要になり
    従来の vCenter のときよりも大変です。
    たとえば、ただコンピュータ名や DNS レコードを変更するだけだと
    vCenter 関連サービスが起動しなくなったりします。
    できるだけ vCenter のインストール前に
    FQDN で(ドメイン部分も含めて)名前を確定しておいた方がよいです。
    ※それとは別に、インストール中に名前解決できることも必須です。
    vc_comp3.png
  • vCenter 5.1 はこれまでからの変更点が多いため、
    基本的にはバグ修正が進んでいる最新版を使用したほうがよいです。
    vCenter には(基本的には)バグごとの個別パッチがないので、
    最新のリリースの vCenter だけインストールすれば最新版になります。
    ※リリース単位は従来通りな感じです。「5.1」「5.1 u1」「5.1 u1a」・・・みたいな名前です。
    ※今の時点(2014/2/15)の vCenter 5.1 は「5.1 Update 2」が最新のはずです。

    VMware vCenter Server 5.1 Update 2 リリース ノート
    http://www.vmware.com/jp/support/support-resources/pubs/vsphere-esxi-vcenter-server-pubs/vsphere-vcenter-server-51u2-release-notes.html
    vCenter 5.1 がこれまでどんな感じでリリースされてきたかは
    上記URLの「vCenter Server 5.1 の以前のリリース」でわかります。


vCenter 5.5 だとまた微妙に事情が異なるので、
基本的には vCenter 5.1 の場合に参考にしてください。

他にもいろいろあると思いますが、とりあえずはこれで・・・

 

以上です。vCenter 5.1 からのコンポーネントについてでした。


自宅や検証環境の ESXi では、結構こんなケースがあるのではないかと思います。

  • そこそこ大容量のローカルHDD をいくつも接続している。
  • 何となく負荷分散して あまり特定のデータストアに偏らないように VM を配置する。
  • しかし VM が多くなってきていて、新しい VM を作成するときにどのデータストアに配置するか悩む。
  • しかも vCenter管理していない。(無償版 ESXi とか)

local_ds_esxi.png

最近、自宅 ESXi で新しい VM をどのHDD(データストア)に配置しようか迷うので

データストアの空き状態と使用状況を PowerCLI で確認する方法を考えてみました。


データストア空き容量の確認

 

普通に Get-Datastore で情報取得するとこんな感じに見られます。

※すでに Connect-VIServer で ESXi に直接接続しています。
※約1TBのデータストアが3つあります。

PowerCLI> Get-Datastore | select Name,Type,FreeSpaceGB,CapacityGB | sort Name| ft -AutoSize

Name        Type    FreeSpaceGB CapacityGB
----        ----    ----------- ----------
ds_local_01 VMFS 505.8291015625     931.25
ds_local_02 VMFS 473.7060546875     931.25
ds_local_03 VMFS     534.546875     931.25


すこし表示結果を見やすくしてみました。
データストアは、どれもけっこう空きがあります。

PowerCLI> Get-Datastore | select Name,Type,@{N="空き容量GB";E={[int]$_.FreeSpaceGB}},@{N="全体容量GB";E={[int]$_.CapacityGB}} | sort Name | ft -AutoSize

Name        Type 空き容量GB 全体容量GB
----        ---- ---------- ----------
ds_local_01 VMFS        506        931
ds_local_02 VMFS        474        931
ds_local_03 VMFS        535        931


データストアの使用状況(IOPS)の確認

 

Get-Stat コマンドレットでデータストアの読み取り数、書き込み数の情報を取得してみました。

スクリプトでは、下記のメトリック(カウンタ)を情報取得して、

PowerShell の measure(Measure-Object)で集計しています。

  • datastore.numberwriteaveraged.average
    →データストアの Number Write Averaged (秒あたりの平均書き込み数)
  • datastore.numberreadaveraged.average
    →データストアの Number Read Averaged (秒あたりの平均読み取り数)

※この2つのメトリックでは、20秒単位で過去180回分(=1時間分)の情報が取得できます。

スクリプトファイル: get_datastore_stat.ps1

$stat_counter = "datastore.numberwriteaveraged.average","datastore.numberreadaveraged.average"

# 統計情報を取得
$stat = Get-VMHost | Get-Stat -Stat $stat_counter | sort Timestamp

$stat | group MetricId,Instance,Unit | % {
    $stat_name = $_.Name
    $stat_gr = $_.Group
    # データストア名を取得
    $ds_id = "Datastore-" + ($stat_gr | select Instance -Unique).Instance
    $ds_name = Get-Datastore -Id $ds_id
    # 統計名を取得
    $metric_name = ($stat_gr | select MetricId -Unique).MetricId
    # 取得した統計情報の期間を取得(1時間)
    $stat_time_sort = $stat_gr | sort Timestamp
    $begin_time = $stat_time_sort | select Timestamp -First 1
    $begin_time = $begin_time.Timestamp.toString("HH:mm:ss")
    $end_time   = $stat_time_sort | select Timestamp -Last 1
    $end_time   = $end_time.Timestamp.toString("HH:mm:ss")
   
    $stat_gr | measure -Property Value -Average -Sum -Maximum -Minimum |
    select `
        @{N="Datastore";E={$ds_name}},
        @{N="Metric";E={$metric_name}},
        Count,
        @{N="Average";E={"{0:0.00}" -F [math]::Round($_.Average,2)}},
        Sum,
        Maximum,
        Minimum,
        @{N="Begin";E={$begin_time}},
        @{N="End";E={$end_time}}
}


実行するとこんな感じで表示されます。

※下の例だと、いままで適当に配置していたので結構データストアで差が出ています・・・

PowerCLI> .\get_datastore_stat.ps1 | sort Datastore,Metric | ft -AutoSize

Datastore   Metric                                Count Average  Sum Maximum Minimum Begin    End
---------   ------                                ----- -------  --- ------- ------- -----    ---
ds_local_01 datastore.numberreadaveraged.average    180 0.00       0       0       0 21:34:20 22:34:00
ds_local_01 datastore.numberwriteaveraged.average   180 2.49     448       9       1 21:34:20 22:34:00
ds_local_02 datastore.numberreadaveraged.average    180 0.02       3       3       0 21:34:20 22:34:00
ds_local_02 datastore.numberwriteaveraged.average   180 29.37   5287      67      12 21:34:20 22:34:00
ds_local_03 datastore.numberreadaveraged.average    180 0.00       0       0       0 21:34:20 22:34:00
ds_local_03 datastore.numberwriteaveraged.average   180 38.52   6934      79      17 21:34:20 22:34:00

 

これからは、「ds_local_01 というデータストアのディスク IO が少なそうなので、

次はここに VM を追加作成しよう」 といった感じで VM のデータストアを決めようと思います。

 

無償版 ESXi の場合は PowerCLI では設定変更系の処理をすることができませんが

設定確認や状態確認で使用するだけでも PowerCLI はけっこう便利だと思います。

vSphere Client のサマリ画面やパフォーマンスチャートなどからも同じ情報が見られますが・・・

 

以上、ESXi の VM 配置を考える話でした。