vRealize Log Insight はログ分析ツールなので、

当然ながら、収集したログを対話的に分析することができます。

今回も、引き続き自分のログイン履歴を見てみようと思います。

※「対話的に」というのは、UI で期間や条件を変えながら検索できるといった意味合いです。

※今回も、Log Insight 2.0 を使用しています。

前回の話はこちら。

Log Insight で vSphere ログイン監査。第1回（Security Dashboard から Interactive Analytics）

対話その1： ログの抽出期間（集計期間）を変更してみる。

当然ながら、Interactive Analytics の画面でもログの抽出 / 集計期間を変更することができます。

ただ、すこしわかりにくいところにある気もします。

例として期間設定を

2014-09-30 00:00 までから、

2014-10-01 00:00 に変更してみます。

Interactive Analytics 画面では、

下記の赤枠のあたりで検索期間を変更できます。

期間を入力後、Enter キーを押すか、検索ボタン で反映されます。

期間が 2014-10-01 00:00 までに変更されたことがわかります。

実は見落としているログイン履歴が 2件あったことに気づきました。

Log Insight の場合、vSphere 環境のログであれば必要なものはだいたい収集しているようなので、

このような見落とし対処などで便利かなと思いました。

対話その2： ログのフィルタをいろいろ変更してみる。

これまで自分の vCenter ログイン履歴を見てきましたが、

思っていたよりもログイン回数が少ない気がしました。

他にも、見落としているログがあるのかもしれません。

そこで、Interactive Analytics 画面で

ためしに見ていたログイン履歴の見方が妥当そうか確認してみようと思います。

まず、vCenter に確実にログインした記憶がある期間に限定して、ログを検索してみます。

2014-10-18 の1日からログ抽出してみたところ、

→なぜかログインのログが見つかりませんでした。No result です。

しかし、Web Client にログインして vCenter のイベント情報を見ると、確かにイベントログが残っています。

ただ、よく見ると、私の PC （192.168.0.2）からではなく、

ローカルホスト（127.0.0.1）からのログインになっています。

これは、vCenter と同じサーバにインストールされている Web Client & vCenter SSO から

vCenter にアクセスするので、ログイン元が 127.0.0.1 になってしまっていたようです。

Log Insight の画面に戻り、ログの抽出条件を変更してみます。

これまで、自分の PC (192.168.0.2)がログイン元であるログに絞っていましたが、

いったん、自分の PC 以外（does not contain）のログ抽出にして何かないかみます。

そうすると、Web Client にログがあったタイミングに

127.0.0.1 からのログイン履歴を見つけることができました。

チャートの、該当する部分をダブルクリックするとドリルダウンしてみることができます。

ドリルダウンしていくと、それらしいログを見つかりました。

ログファイル（text）のタイムスタンプは UTC でも、

timestamp では自動的に日本時間に変換してくれているようです。

ちなみに、私の環境では Web Client で vCenetr を2つ管理しているので、

近い時間帯で 2つのログインがあります。

それでは、ログイン履歴の集計を調整してみます。

まず、ドリルダウンの時にチャートをクリックすることで追加された

Filter を「×」ボタンで削除します。

ログイン元としてに「127.0.0.1」を含む(contains)ようにします。

2つのアドレスを条件に含めるので「,」で区切っています。

そして、ログの集計期間も

2014-09-01 00:00 ～ 2014-10-01 00:00 の1ヶ月間にしてみました。

そうすると、下記のような結果になりました。

今度は 10/1 ～ 10/6 あたりに 1日あたり250件ほどの謎の大量ログインを発見しました・・・

セキュリティダッシュボードを見直してみると、

たしかに vmad\administrator ユーザは 127.0.0.1 からのログインが多いようです。

そこで、127.0.0.1 からの vmad\administrator ユーザログインを

このダッシュボードでドリルダウンしてみます。

ダッシュボードに Filter が追加され、目的のログイン情報だけが表示されました。

少し下の方をみると「vCenter Server logins by type」があり、

どのような方法でログインしたのか集計されています。

Web Client からとみられる「vim-java 1.0」からのログイン件数はそこそこです。

前掲 の Web Client ログインのイベントにもこの文字列があったので、

これが Web Client からの vCenter へのログインなのでしょう。

もう一つの「java/1.7.0_40」は

おそらく最近やった vSphere BDE（Serengeti）検証で

大量に自動ログインさせたときに発生したものと考えられます。

※見づらくなるので、今回は除外してしまいます。

ノイズにになっていた「java/1.7.0_40」を除外するとこのようになりました。

だいたい期待通りの結果になりました。

1か月のうち 26日に、何らか の vCenter ログインしていたようです。

もう少し詳細にログインを分類したい場合は

Group by に Java の除外でも指定した「vmw_vc_auth_type」を含めると、

どのような方法でログインしたのか見当がつくようになります。

このように、ログイン元と、ログイン方法

（Web Client、vSphere Client、PowerCLI ・・・）

でグループ化され、色分けして表示されるようになります。

ただし、PowerCLI でも mozila～ などと表示されてしまうので、

最初は vCenter のタスク情報などからアタリをつける必要があります。

これまでの感想。

• 人間がログインして作業するユーザと、システム利用ユーザ（LogInsight や、VCOPS からの接続など）は別にしておかないと、ログイン監査も大変になる。
• ログイン監査をするときは、色々なログインを試して、ちゃんと監査できるか妥当性を確認したほうがよい。
• localhost（127.0.0.1）はログ出力したサーバ自身なので、どのサーバかわかりにくい。
  どこが生成したログなのか確認するには、ログにあるアドレス以外の情報も必要になることが多そう。
• とりあえずログを収集しておけば、後から「やっぱりこれも検索」ができる。

まだつづく・・・

これまで、vRealize Log Insight を使用して

ためしに自分のログイン履歴を見てみました。

今回は、Interactive Analytics での分析結果を、ダッシュボードに追加してみます。

※今回も、Log Insight 2.0 を使用しています。

前回までのポストは・・・

Log Insight で vSphere ログイン監査。第1回（Security Dashboard から Interactive Analytics）

Log Insight で vSphere ログイン監査。第2回（Interactive Analytics での対話）

Interactive Analytics からのダッシュボード新規作成とチャート追加

Interactive Analytics のチャートをダッシュボードに追加するには、

画面左上の「Add to Dashboard」をクリックします。

今回は「New Dashboard」を選択して、ダッシュボード自体も新規作成します。

新規作成するダッシュボードの名前を入力して、「Save」します。

ダッシュボード名は、日本語でも大丈夫そうです。

作成したダッシュボードが選択されています。

今度は、追加するチャートの名前を入力します。チャート名も、日本語が使えました。

Notes には、なんとなくチャートの説明を記載してみます。

「Add」ボタンで、チャートが追加されます。

追加したダッシュボードを見てみる。

チャートを追加したダッシュボードを見てみます。

「Dashboard」 →画面の「VMware ‐ vSphere」のあたり →「My Dashboards」 を開くと

自分で作成したダッシュボードが表示されます。

My Dashboards を開いたら、

作成したダッシュボード（今回は「ログイン監査ダッシュボード」）をクリックします。

追加した「自分のログイン履歴」チャートが見られました。

このチャートは、横幅を広げたり、タイトルバーをドラッグして並べ替えることもできます。

ためしに、例の赤枠のあたり（Click to expand widget）をクリックして

チャートの幅を広げてみます。

広がりました。

チャート追加の時に入力した「Notes」は、「i」 マークをクリックすると表示されます。

追加したチャートは、表示期間を変更したり、

「Add Filter」 で集計するログの抽出条件を追加してすることができます。

下の例では、ためしに表示期間を変更してみました。

ダッシュボードへのチャート追加。

さらに、ウィジェット（ダッシュボードにチャートやログの抽出結果など）を追加してみます。

赤枠のあたりのボタンのからでも、ウィジェットを追加することができます。

※ちなみにこれは、前回のポストで作成した分析結果の画面です。

チャート(Chart) ウィジェットとして追加したり・・・

Interactive Analytics 画面の下にあるように、

ログの抽出結果を表形式（Field Table）で追加したりできます。

上記の2つのウィジェットを追加して、ウィジェットの幅を調整するとこのようになります。

簡易的な、ログイン監査ダッシュボード っぽいものができました。

表示されていた分析結果をもとに「Interactive Analytics」の画面を開いて、

更に分析をすることもできます。

チャートの虫眼鏡のマークをクリックすると・・・

「Interactive Analytics」の画面が開きました。

今回のポストでは、vCenter へのログイン履歴しか見ていませんでしたが、

工夫次第で、たとえば ESXi や BDE（Serengeti）などのログイン履歴なども

一つのダッシュボードにまとめてログイン監査したりできそうです。

Log Insight については、下記もどうぞ。

vCenter Log Insight のデプロイ。

vCenter Log Insight に VC 追加登録。

vCenter Log Insight を VCOPS と統合してみる。

以上、Log Insight でログイン履歴を見てみる話でした。

最近、vSphere の有名な技術書が翻訳されました。

マスタリング VMware vSphere 5.5

http://books.shoeisha.co.jp/book/b181754.html

私が以前に VCAP5-DCA / DCD を取得したときに、

マニュアル、実機、あと

この本の原書（の vSphere 5.1 の時の本）で勉強してたのですが、

英語でとてもつらかったので、翻訳されてとてもうれしいです。

技術書で、機能解説がただひたすらあるだけだと つらいと思います。

しかし、この本では「実際はこんな感じで使う」 「こういう使い道でこの設定があります」

といった説明がされていて、想像しやすい説明がされていると思います。

そして結構、絵も多いです。

個人的には特に、各章の「まとめ」にある 練習問題＆解答 というのが、

意外と現場でよくある感じのものが満載でよいと思います。

（この本は試験対策用の本ではない、技術書なのですが・・・）

ところで、VCAP(VMware Certified Advanced Professional) というのは、

VCP の上位試験で、2種類の試験があります。

今のところ、vSphere 5.x は英語試験しかないようです。

• DCA = Data Center Administration
  30課題弱くらいの実機操作による試験です。
  雰囲気は、HoL みたいな感じです。
• DCD = Data Center Design
  vSphere の設計についての試験。
  こんな時はどうする？、こんなこと言っているがどうする？
  みたいなことを問われる、コンピュータベースの試験です。（お絵かきもアリ）

ついでなので、この本を読んだ以外にも VCAP の勉強などについて、

いくつかヒントになりそうなことをお伝えしてみようと思います。

実機操作について

私の場合は自宅に実機環境を用意して勉強したのですが、

今なら VMware Hands-on Labs Online（通称 HoL）を利用するとよいと思います。

HoL はこちら。※無償でアカウント作成できます。

http://labs.hol.vmware.com/HOL/catalogs/

HoL では、主要なコンテンツは日本語マニュアルがあり、

実環境なので、実際はコンテンツのHoLマニュアル（ラボのシナリオ）から外れた操作もできます。

製品マニュアルや書籍を見ながら、

たとえば下記のあたりのラボ環境で vSphere の機能をひと通り

実機操作をしてみるとよいと思います。（他にもいいラボがあるかもしれません。）

• HOL-SDC-1410 - Virtualization 101
• HOL-SDC-1402 - vSphere Distributed Switch from A to Z

マニュアルについて

製品マニュアルでは、どれも重要だとは思いますが、

[VMware vSphere の範例とシナリオ ガイド] というドキュメントが

結構参考になると思います。

バージョン問わず、このシナリオを実機操作しておくと（読んでおくだけでも）

カンが身に付くと思います。

vSphere 5.0 の 範例とシナリオ ガイド

http://pubs.vmware.com/vsphere-50/topic/com.vmware.ICbase/PDF/vsphere-esxi-vcenter-server-501-examples-scenarios-guide.pdf

vSphere 5.1 の 範例とシナリオ ガイド

http://pubs.vmware.com/vsphere-51/topic/com.vmware.ICbase/PDF/vsphere-esxi-vcenter-server-511-examples-scenarios-guide.pdf

※vSphere 5.5 だと個別では見当たらないのですが・・・

試験の出題範囲について

VMware Certification の Web サイトから

Exam Blueprint という PDF がダウンロードできるので、熟読するとよいと思います。

DCA はこちら

https://mylearn.vmware.com/mgrReg/plan.cfm?plan=30483&ui=www_cert

DCD はこちら

https://mylearn.vmware.com/mgrReg/plan.cfm?plan=47317&ui=www_cert

受験のタイミングについて

だいたい、毎年の vForum のあたりで割引などのキャンペーンが・・・

以上、VCAP の思い出と、書籍紹介についてでした。

最近、VMware の

主にvSphere （ESXi / vCenter）あたりの自動化について技術書が出版されました。

VMware自動化ガイド

スクリプティングとワークフローによる管理テクニック

http://www.shoeisha.co.jp/book/detail/9784798138954

解説されているものは、下記のあたりです。

• vSphere CLI（通称 vCLI） と vMA
• PowerCLI
• vCO （vCenter Orchestrator）
• vCAC （vCloud Automation Center）

ちなみに

vCO / vCAC は、最近突然 vRealize ～ に名称変更されていますが、

それについても補足されているのでご心配なく・・・

「自動化ガイド」という名前ですが、その前提となる

各 CLI の基本的な使い方についても説明されています。

GUI ではなく「できるなら CUI で使いたい」という趣向の人は結構多いと思うので、

そんな方々にも、おすすめです。

上記リンクの「目次」からもわかるように、それぞれの機能について

説明/基本操作 → 具体例/実習 といった流れで説明されていて

機能解説するだけでなく、実際に自動化環境を作れる構成になっています。

なんと、各 CLI についてはインストーラのダウンロード方法から解説されています。

この本の登場により、自動化機能の活用はもちろんのこと、

「vMA は導入されているけれども使い道がわからない。

　そして結局なんでも vSphere Client で操作している。」

とか、

「PowerCLI は使っているが、チーム内に使い手が少なくて困る。」

といった、現場でよくある微妙な状況が改善されるのではないかと思いました。

以上、VMware自動化ガイド の紹介でした。

最近、日本語の Horizon 6 書籍が出版されました。

VMware Horizon 導入実践ガイド

[モバイルクラウド時代のワークスタイル変革]

http://book.impress.co.jp/books/1114101058

これです

見てのとおり、VMware Horizon 6 についての書籍です。

ちなみに私は、Horizon に含まれる仮想デスクトップ（Horizon View）

について勉強すべくこの本を入手しました。

VMware 社のものに限らず、VDI や Workspace 的な製品は

もともと関連するコンポーネントが多く、

さらに VMware Horizon には色々な製品が統合されていて

実際に構築/運用したことがある人でないとイメージしにくいところがあると思います。

Horizon 6 の場合は日本語ドキュメント（製品マニュアル）も公開されているので

それを端から読んで勉強することもできますが、

その場合はどうしても機能説明ベースでの説明を読むことになります。

以前に Horizon や、同様な製品を使用した経験がないと

なかなかつらいところがあると思います。

というわけで、そのあたりをカバーしてくれそうな この本を読んでみました。

この本の特徴は・・・（個人的な印象ですが）

• （当然ながら）網羅性を必要とする製品マニュアルよりも、Horizon 導入に向けて知っておくべきことに焦点があてられている。
• 進化の早い Horizon に即対応すべく頑張って執筆された本なので、いらないことは書かれていない。（ように感じた）
• 「導入実践ガイド」なので、PoC の考え方や環境構築系の説明が充実していて、HoL だとカバーしにくいところが理解しやすい。

ちなみに、HoL とはこれのことです。

VMware Hands-on Labs

http://labs.hol.vmware.com/HOL/catalogs/catalog/

Horizon 6 を知っておきたい ベンダや SIer な人たちだけでなく、

いわゆるユーザ企業側の人も、この本を読んでおくと

お互いに会話がはずむのではないかと思いました。

以上です。Horizon 6 本の紹介でした・・・

いま大流行の NSX ですが、実は 2つの製品があります。

• VMware NSX for vSphere （NSX-V）
• VMware NSX for Multi-Hypervisor （NSX-MH）

それぞれ、基本的な概念（トランスポートゾーンを構成して、その中で論理スイッチを構成できて…）

といったところは共通ですが、ソフトウェア自体や機能は異なります。

結構わかりにくいので、それぞれ簡単に紹介してみようと思います。

ちなみに、「NSX の製品データシート」を見てみると・・・

NSX の製品データシート

http://www.vmware.com/files/jp/pdf/products/nsx/VMware-NSX-Datasheet.pdf

（英語）

http://www.vmware.com/files/pdf/products/nsx/VMware-NSX-Datasheet.pdf

展開方法（英語では「How to Buy」）に下記のように書いてあるのですが、

1文目が NSX-V、 2分目が NSX-MH を指していると思われます。

（vCAC がそれぞれに書いてあったりしますし）

NSX を VMware vSphere 環境に展開し、vSphere、VMware

vCloud Director および VMware vCloud Automation Center と

完全に連携させることができます。また、Xen Server、KVM または

VMware vSphere ESXi などのマルチ ハイパーバイザー環境に展開

して、vCloud Automation Center、OpenStack および CloudStack

などのクラウド管理ソリューションを使用することも可能です。

それぞれの、主な違いについて。

VMware NSX for vSphere（NSX-V）

• これまでの vCloud Networking and Security（vCNS）が進化したもの。
• 現行のバージョンは 6.1.x。
• 対応するハイパーバイザは ESXi だけ。
• vCenter インベントリのオブジェクトを指定した分散ファイアウォール制御 ができたりするのはこちら。
• 使用する仮想スイッチは、vDS を機能拡張したようなもの。
• トランスポートゾーンは、vCenterのクラスタ単位で拡張。
• ハードウェア VTEP は使えなそう。
  ただし物理サーバが NSX 環境下で通信不可能というわけではない。（L2 Bridging あり）
• トンネルは VXLAN だけ。
• ソフトウェアベンダとの製品連携はこちらが多いような・・・
• もともと vCNS、vShield ～と連携していた製品は、だいたいこちらの NSX と連携する様子。

VMware NSX for Multi-Hypervisor（NSX-MH）

• 元 NVP（旧 Nicira）。
• 現行バージョンは 4.2.x。（バージョンは、NSX-V とは関連していない）
• 対応するハイパーバイザは ESXi のほかに KVM、Xen ...
  （ただしESXi を使用する場合も、VIB が NSX-V とは異なる）
• OpenStack（Neutron）連携したりするのはこちら。
• 使用する仮想スイッチは、Open vSwitch ベースのもの（らしい）。
• トランスポートゾーンは、ハイパーバイザや、ゲートウェイ単位での拡張ができる。
• 物理スイッチ等の「ハードウェア VTEP」が使えるのもこちら。
• トンネルは、VXLAN、STT、GRE ...
• HW ベンダとの製品連携はこちらが多いような・・・

それぞれ、vSphere 環境への導入方法も異なります。

たとえば ESXi への追加モジュール（VIB）も、そのインストール手順も違います。

続いて、スクリーンショットをもとに違いを見てみようと思います。

※スクリーンショットは HoL でとりました。

NSX-V の様子。

NSX Manager のログイン画面です。

ログインして、Summary タブを開いたところです。簡潔・・・

ESXi には、いくつか NSX 特有の VIB が追加されます。

ちなみに Web Client から自動インストールっぽいことができます。

vCenter の Web Client には、vCNS のころからの

「Network & Security」メニューがあります。

NSX-V の操作は、基本的にはWeb Client の

「Network & Security」メニューのあたりから実施できます。

NSX-MH の様子。

NSX Manager のログイン画面は、ほとんど同じです。

よく見るとアイコンが違ったり、右下にバージョン表記があったりします。

ログインすると、NSX-V とは相当違います。結構、玄人志向な気が・・・

NSX-V と異なり、Web Client ではなくこの画面からの設定が基本となるようです。

ESXi の追加 VIB は、NSX-V とは違います。

※NSX-V の例と表示コマンドが違いますが、深い意味はありません・・・

NSX-MH では Web Client には、「Network & Security」メニューがありません。

他にも、いくつか NSX を知るうえでヒントになりそうなことを挙げておこうと思います。

製品マニュアル。

ドキュメントも、NSX-V と NSX-MH は完全に別です。

NSX-V

VMware NSX for vSphere Documentation

https://www.vmware.com/support/pubs/nsx_pubs.html

NSX-MH

一般公開はされてなそうです。

（製品購入すれば、MyVMware から DL できる様子・・・）

今年の HoL。（日本語）

VMware Hands-on Labs

http://labs.hol.vmware.com/HOL/catalogs/

NSX-V

HOL-SDC-1403 - VMware NSX Introduction

※英語では他にもいろいろあります。

NSX-MH

HOL-SDC-1420 - OpenStack with VMware vSphere and NSX

※OpenStack がメインっぽいですが、NSX-MH 環境です。

技術書籍。

いまのところ、NSX の専門書は下記だけ・・・

NSX-MH ベースに説明していて、

NSX-V については、それ用の章（5-4 ～）をもうけて説明されています。

詳解VMware NSX　ネットワーク仮想化の基礎と応用

http://book.impress.co.jp/books/1113101094

※ちなみに正誤表もここにあります。

資格について。

VMware Certified Professional - Network Virtualization(VCP-NV)

https://mylearn.vmware.com/mgrReg/plan.cfm?plan=51111&ui=www_cert

選択問題の試験。基本的には NSX-V ですが、若干 NSX-MH の知識も含まれます。

VMware Certified Implementation Expert - Network Virtualization(VCIX-NV)

https://mylearn.vmware.com/mgrReg/plan.cfm?plan=52165&ui=www_cert

実機試験。完全に NSX-V の資格です。

※くわしくは上記 Web サイトの「Exam Blueprint」を参照。

最後に。

NSX の説明については、NSX-V / NSX-MH どちらのことか（もしくは両方か）

わかりにくいものが多いので、どちらの話なのか整理してみると

理解しやすいのではないかと思います。

以上です。NSX-V / NSX-MH についての話でした。

NSX は、仮想化されたネットワーク環境にセキュリティを実装できます。

そして、その NSX 自体のセキュリティについてのガイドもあります。

vSphere は、バージョンごとに

セキュリティ強化のためのガイドが公開されています。

VMware Security Hardening Guides

http://www.vmware.com/jp/security/hardening-guides

これの NSX for vSphere（NSX-V）むけのガイドが

コミュニティに公開されています。（Excel シートです）

NSX-v 6.1 - Security Hardening Guide (Community version 1.2)

https://communities.vmware.com/docs/DOC-28142

たとえば「分散 FW は～というように設定すべき」とかではなく、

NSX 自体のインストールや、NSX を構成する仮想アプライアンス（NSX Edge など）の

セキュリティ対策設定について記載されています。

そして、結構、頻繁に更新されています。

このガイドでは、実装項目ごとに、

やるべき内容を要約したような一意の「ID」が振られています。

※IDは数字ではなく、文字列で管理されています。

上記のガイドから、コンポーネントごとに「ID」を抜き出してみました。

どのようなことが記載されているのか、ある程度わかると思います。

NSX-V のセキュリティについて検討したい場合、

このガイドを参考にすると良いと思います。

ただ、このガイドも、vSphere のガイド同様で「どこでも全部、必ずやるべし」というものではなく、

インフラの環境構成や運用方針に合わせて取捨選択が必要だと思いました。

また、各ガイドには具体的な設定方法やAPI についても記載されているので

NSX-V を理解するためにもよい資料だと思います。

他にもNSX のセキュリティ については、下記のドキュメントがあります。

※だいたい、このドキュメントの要素もハーデニングガイドに含まれているようです。

Securing-NSX-vSphere

https://communities.vmware.com/docs/DOC-27674

以上、NSX の セキュリティハーデニングの話でした。

今年、VMware Integrated OpenStack（VIO）が発表されました。

VMware Integrated OpenStack (Beta)

http://www.vmware.com/products/openstack

しかし、それ以前から、OpenStack + vSphere を検証 / 勉強するための

vSphere OpenStack Virtual Appliance （VOVA）というのが存在します。

VMTN の OpenStack コミュニティのページはこちら。

OpenStack

デプロイのマニュアルはこちら。

https://communities.vmware.com/docs/DOC-24626

今回は、その VOVA をデプロイしてみます。

VOVA というのは、OpenStack のコンポーネントが

まとめてインストールされている VM です。

OVA ファイルをデプロイするだけで、OpenStack 環境が構築でき、

OpenStack から vSphere 環境を制御するとどのように見えるのか

といったことを確認できます。

ただし、VOVA は PoC 目的のものなので、

このまま本番環境として使用することは、想定されていません。

※どうしても本気でやりたい場合は VIO のベータプログラムに参加・・・

環境

• vSphere 5.5 U1 です。
• VOVA は、Icehouse 版（VOVA_ICEHOUSE.ova）を使用します。
  http://partnerweb.vmware.com/programs/vmdkimage/vova/VOVA_ICEHOUSE.ova

デプロイ

vSphere 環境は、以下の準備をしておきます。

• DRS クラスタを作成しておく。
• 「br100」というポートグループを作成。
• ESXiのファイアウォールで gdbserver を解放しておく。

今回は、Web Client から OVA ファイルをデプロイします。

vCenter インベントリの、デプロイ先を右クリックして

「OVF テンプレートのデプロイ」を選択します。

VOVA の OVA ファイルを選択します。

確認画面です。

Thin プロビジョニングなら、6GB くらい、Thick なら、40GB 必要です。

VOVA  の名前（デフォルトでは VOVA）と、デプロイ先（DC / フォルダ・・・）を指定します。

VOVA デプロイ先となる クラスタ / フォルダ等は、

OpenStack 環境として VOVA が管理する場所とは別でもかまいません。

OpenStack 環境として管理する場所は、後の方で指定します。

（今回は別にしています。）

VOVA をデプロイするデータストアを指定します。

これも、OpenStack として管理するストレージの指定ではありません。

OpenStack 環境として管理するデータストアは、後の方で指定します。

VOVA の VM を接続するポートグループを指定します。

• 「Mgmt Network」
  VOVA の OpenStack Dashboard（OpenStack の Horizon）に
  接続したりするネットワークになります。
  ポートグループ名は「VM Network」でなくても OK です。
• 「br100」
  OpenStack で起動するインスタンス（VM）の接続するネットワークと同じ
  ポートグループを指定します。
  ポートグループ名は「br100」にしておいた方がよいです。

これらのポートグループは、ここで指定する前に作成しておきます。

また、vSS / vDS どちらに作成しても大丈夫です。

VOVA の設定を入力します。

「VMware Driver Configuration」というのが、OpenStack 向けの設定です。

• vCenter のアドレス
  OpenStack は、vSphere 環境を操作するとき、必ず vCenter を経由します。
• VOVA から vCenter に接続するユーザ / パスワード
  今回は事前に、vovauser@vmad.local というユーザを作成しました。
  簡易的に試すなら、administrator@vsphere.local や root ユーザ等でよいと思います。
• OpenStack 管理下にするデータセンタ名
• OpenStack 管理下にするクラスタ名
• OpenStack 管理下にするエータストア名

ちなみに、VOVA ～ vCenter の接続ユーザについてですが、

ADドメインユーザを使用する場合は

「ドメイン\ユーザ名」だと、なぜかユーザ名が化けてしまうようなので

「ユーザ名@ドメイン」としたほうがよいようです。

このページの下の方にある「Network Properties」には、

VOVA のネットワーク設定（「Mgmt Network」のもの）を入力します。

• デフォルトゲートウェイ
• 参照する DNS サーバ
• IP アドレス
• サブネットマスク

確認画面です。

少し待つと、OVA ファイルのデプロイが終わります。

VOVA を起動する前に、仮想マシンのバージョンを

7 から 10 にバージョンアップしておきます。

確認・・・

「ESXi 5.5 以降」を選択します。（デフォルト）

VOVA をパワーオンします。

VOVA を Web Client のコンソールで見ると、

このようになっています。

OpenStack の ダッシュボードの URL と、

VOVA 自身の 管理用 Web UI の URL が表示されています。

OpenStack のダッシュボードへのアクセス

VOVA での OpneStack 管理は、

vSphere Web Client からではなく、OpenStack のダッシュボードから行います。

（VIO では変わるのかもしれませんが・・・）

OpenStack Dashboard の URL は、下記のようになります。

http://＜VOVA のアドレス＞/

OpenStack の ダッシュボードにアクセスすると、

OpenStack Dashboard（VMware ではない Horizon・・・）の画面が表示されます。

demo ユーザや、admin ユーザが用意されています。

demo ユーザでログインしてみると、こんな感じです。

今回は、VOVA のデプロイについてでした。つづく・・・

vSphere と OpenStack。第2回 VOVA でインスタンス起動。

OpenStack + vSphere を検証 / 勉強するための

vSphere OpenStack Virtual Appliance（VOVA）という仮想アプライアンスが存在します。

VMTN の OpenStack & VOVA のコミュニティのページはこちら。

OpenStack

前回、VOVA をデプロイしてみました。

vSphere と OpenStack。VOVA のデプロイについて。

今回は、VOVA でインスタンスを起動（VM 作成）してみます。

VOVA の OpenStack ダッシュボードからインスタンス起動。

VOVA で VM を作成する場合、

vSphere Client や Web Client からではなく、

VOVA の OpenStack ダッシュボードから起動します。

今回は、demo ユーザでログインします。

「プロジェクト」→「コンピュート」→「インスタンス」の画面で

「インスタンスの起動」をクリックします。

下記のあたりを指定して、「起動」します。

• インスタンス名
• フレーバー（VM のスペック）
• インスタンスのブートソースと、イメージ名

「イメージ名」では、Glance で管理されている OS イメージを指定します。

VOVA には、デフォルトで cirros と debian のイメージが登録されているので、

今回は debian のイメージを使用してみます。

（日本語キーボードだと cirros のデフォルトパスワードの入力がつらかったので）

VM 起動が開始されました。

起動中（作成中）なので、状態が「Build」となっています。

しばらくすると、状態が「Active」になります。

この状態で、既に VM は作成され、起動もされています。

VOVA の nova コマンドからインスタンス起動。

VOVA に Web Client のコンソールや SSH でログインすれば、

nova コマンド等で OpenStack + vSphere 環境を体験することもできます。

ためしに、VOVA で「nova list」コマンドを実行すると、

先ほど作成した VM が表示されています。

この後、nova コマンドでインスタンス起動するつもりなので、

「nova flavor-list」でフレーバーの一覧も見ておきます。

VOVA には、デフォルトで2つの OS イメージが登録されています。

「glance image-list」で、イメージの一覧が表示できます。

「nova boot」でインスタンスを起動してみました。

ここまでで一覧表示してみた、イメージとフレーバーを指定してみました。

「nova boot ～」というコマンドラインですが、VM の起動だけでなく

vSphere での VM 作成も含まれます。

ちなみに OpenStack 環境だと、インスタンスの終了をすると

VM の停止だけでなく削除までされます。（AWS の EC2 みたいな感じです。）

「nova boot」実行後に、「nova list」を見てみました。

vova-vm02 というインスタンスが起動されつつあります。

当然ながら、OpenStack ダッシュボード側でも

コマンドで起動したインスタンスが見えます。

vSphere からの、OpenStack 管理下 VM の見え方。

VOVA から起動した VM を、vSphere 側（Web Client）から見てみます。

作成された VM の名前は、「インスタンス名」ではなく UUID になります。

クラスタ、ポートグループ（ネットワーク）、データストア（ストレージ）は、

それぞれ、VOVA のデプロイ時に「VMware Driver Configuration」で指定したものが割り当てられています。

ちなみに、br100 ポートグループが ESXi に存在しない場合は自動作成されるようです。

そして、vDS / vSS 両方に br100 ポートグループが存在する場合、vDS のものが使用されるようです。

VOVA と、本番むけの VIO （まだベータ中）では結構、違いがあるようで

おそらくコンポーネント構成などが変更されたり、使い勝手も変わったりすると思われます。

とりあえず VOVA については、

「OpenStack 管理による vSphere 環境の自動化が～」といった感じではなく、

OpenStack から操作される vSphere の動作を見るために使っていきたいと思いました。

以上、VOVA でのインスタンス起動についてでした。

続く・・・（かもしれない）

今回は、PowerCLI を起動したときの「PowerCLI ～path～>」についての話です。

PowerCLI を起動したときの、デフォルトのプロンプト文字列ですが・・・

PowerShell の prompt ファンクションを PowerCLI 起動時の初期化スクリプトで変更しています。

PowerCLI C:\Program Files (x86)\VMware\Infrastructure\vSphere PowerCLI> cat .\Scripts\Initialize-PowerCLIEnvironment.ps1

（省略）

# Modify the prompt function to change the console prompt.

# Save the previous function, to allow restoring it back.

$originalPromptFunction = $function:prompt

function global:prompt{

 

    # change prompt text

    Write-Host "$productShortName " -NoNewLine -foregroundcolor Green

    Write-Host ((Get-location).Path + ">") -NoNewLine

    return " "

}

（省略）

「Add-PSSnapin VMware.VimAutomation.Core」などで PowerCLI 関係の

モジュールを読み込んだ場合は、

このスクリプトが読み込まれないのでプロンプトは変更されません。

ちなみに、$productShortName という変数には「PowerCLI」が入っています。

PowerCLI C:\> $productShortName

PowerCLI

もともとの PowerShell プロンプトは、このような感じのようです。

PowerCLI C:\> $originalPromptFunction

$(if (test-path variable:/PSDebugContext) { '[DBG]: ' } else { '' }) + 'PS ' + $(Get-Location) + $(if ($nestedpromptlevel -ge 1) { '>>' }) + '> '

このブログのコマンド例のようにしたい場合は、このような感じにしたりします。

function prompt{Write-Host "PowerCLI" -NoNewLine -foregroundcolor Green;"> "}

PowerCLI C:\>

PowerCLI C:\> function prompt{Write-Host "PowerCLI" -NoNewLine -foregroundcolor Green;"> "}

PowerCLI>

以上、PowerCLI のプロンプト文字列についてでした。

今回は、VOVA での Cinder ボリュームの見え方についてです。

Cinder は、ブロックデバイス ストレージを管理する OpenStack コンポーネントです。

OpenStack + vSphere と vSphere OpenStack Virtual Appliance（VOVA）

のコミュニティ ページはこちら。

OpenStack

これまでの VOVA。

vSphere と OpenStack。第1回 VOVA のデプロイについて。

vSphere と OpenStack。第2回 VOVA でインスタンス起動。

概要。

OpenStack + vSphere 環境の Cinder は、

データストアに VMDK ファイルを自動作成します。

ただし、VMDK ファイルを作成するだけでなく「Shell VM」と呼ばれる、VMDK 管理用の

「ただ VMDK ファイルを接続されているだけの VM」とセットで作成されます。

この VM は、PowerON されたりせず、vNIC も割り当てられていません。

Cinder で、Nova インスタンス（VM）に Cinder のボリュームを割り当てると、

Shell VM に接続されている VMDK ファイルが、その VM からも接続されます。

このとき、Shell VM には、常に接続されたままになるので、

VMDK ファイルは共有されている状態になっています。

実際の画面を見てみる。

VOVA での Cinder のボリューム作成も、OpenStack ダッシュボードからです。

ボリューム名、容量 等を入力します。

今回は、ボリューム名を「vova-vol01」、容量は 2GB にしています。

作成されたボリュームを VM に割り当てるには、「接続の編集」を開きます。

「インスタンスへの接続」で、

接続する VM（Nova インスタンス）を選択します。

少し待つと・・・

「接続先」に、接続したインスタンス名と、

そのインスタンスでのデバイス名（例だと /dev/sdb）が表示されます。

ちなみに、VOVA に SSH ログインしてみると

「cinder list」コマンドで同様に確認できます。

OpenStack ダッシュボードから、

インスタンスのコンソールを画面をひらいて確認してみました。

/dev/sdb として、2GB のディスクが認識されています。

ただし、ただのブロックデバイスとして認識されるので

この領域にファイルを配置したりするためには、

ファイルシステム作成や、マウントが必要です。

vSphere Web Client からの見え方。

Cinder ボリュームが、

「volume-UUID」という名前の VM（Shell VM）と一緒に作成されています。

VMDK ファイルが作成されたデータストアは、VOVA のデプロイ時に

「VMware Driver Configuration」で指定したデータストアです。

PowerOff 状態の、Shell VM の「ハード ディスク 1」の VMDK ファイル名と・・・

Cinder ボリュームを割り当てた VM の

「ハード ディスク 2」の VMDK ファイル名が同じです。

vSphere の世界だと、

どの VM にも割り当てられていない ノラ VMDK ファイルは

扱いにくいのかな、と思いました。

以上、VOVA でのボリューム作成でした。

つづく。（かもしれない）

VOVA について、前回このような感想を残しましたが、

これについて、ちょっと補足をしておこうと思います。

vSphere と OpenStack。第3回 VOVA でボリューム作成。（Cinder）

「OpenStack 管理による vSphere 環境の自動化が～」といった感じではなく、

OpenStack から操作される vSphere の動作を見るために使っていきたいと思いました。

vSphere と OpenStack を組み合わせる場合、

OpenStack で管理するコンピュートノードとして（ハイパーバイザとして）

vSphere（ESXi + vCenter）を使うことになります。

この時、OpenStack は vCenter を操作するドライバ（プラグイン）を使用します。

このドライバは、vSphere driver、VMDK driver と呼ばれていて、

これは、自力でゼロから OpenStack + vSphere の環境を構築しても、

VIO もしくは VOVA を使用しても変わらない部分だと思います。

ただ、VOVA と VIO では対応しているコンポーネントや

OpenStack 環境の構築手順が異なるようです。

たとえば VOVA では、仮想アプライアンスをデプロイすれば

簡易的な OpneStack 環境が構築できます。

しかし Neutron は使用できるようにはなっていません。

一方 VIO では、仮想アプライアンスをデプロイすると

VIO Manager と VM のテンプレート が展開され、

そこから更に OpenStack 管理用の VM（20 VM くらい?）を展開することで

OpenStack 環境となるようです。

Newtron も NSX との連携により、使用できるようになっているようです。

vCetner を経由した連携方法や、使用するドライバの動作、

vSphere 環境には実際どのようなオブジェクトができるのか、といったことの確認は VOVA で可能です。

そのため、とりあえず OpenStack 連携がどのようなものなのか見てみたい場合は

VOVA を使用してみるとよいと思います。

ただ、本番環境での OpenStack + vSphere を検討するときは

VIO（のベータプログラム）を使わざるを得ない気がしました。

そもそも、OpenStack 込みで製品サポートを得られるのは VIO の方のみで、

しかも VIO は管理用 VM の構成が相当ちがう（VM 構成が本気すぎる気も・・・）ので

VOVA だと PoC しきれない気がしました。NSX 連携も必要でしょう・・・

ということで、もう少し VOVA を使ってみようと思います。

以上、VOVA の用途についての所感でした。

最近、自宅の vCenter Server Appliance (VCSA) の Web Client が不調でした。

ログインや操作は一応できるのですが、

vCenter のインベントリ情報が正しく表示されなくなっていました。

たとえば、

• VM を作成しても、表示されない。（そのため起動もできない）
• 既にある VM を起動しても、停止したままのように見える。（しかし起動はしている）
• VM を停止しても、起動したままのように見える。
• クラスタの名前を変更しても、反映されない。

など

Web Client のこのあたりの表示です。

ただし、vSphere Client や PowerCLI では

問題なくインベントリ オブジェクトが表示も操作もできます。

しかし、vSphere 5.1 以降の新機能は基本的に Web Client からしか使用できないので

このままでは困ります。

何となく Inventory Service が怪しい気がしたので、かねてから気になっていた、

VCSA での Inventory Service データベースのリセットをしてみました。

vCenter Server Appliance 5.x で vCenter Inventory Service の開始に失敗する

http://kb.vmware.com/kb/2093001

ちなみに、VCSA ではない Windows 版の vCenter だと、これにあたります。

VMware vCenter Server 5.x Inventory Service データベースのリセット

http://kb.vmware.com/kb/2093004

今回は、VCSA 5.5 Update 1 で実施しています。

リセットのためのコマンドラインで、何回か VCSA のホスト名を指定しているので

最初に vcenterhost 変数にホスト名を設定しています。

vc55u1-1:~ # uname -n

vc55u1-1.vmad.local

vc55u1-1:~ # vcenterhost=`uname -n`

vc55u1-1:~ # echo $vcenterhost

vc55u1-1.vmad.local

今回の VCSA には、Single Sign-On インスタンスが同居しているので、

KB にあるとおりコマンドラインを実行します。

※大抵の VCSA 環境では、SSO インスタンスは同居だと思います。

※最初の赤文字部分(部分的に青く表示されているかもしれませんが)を、1行で実行します。

vc55u1-1:~ # /usr/lib/vmware-vpx/inventoryservice-registration/vcregtool.sh -Dvim.logdir=/var/log/vmware/vpx/inventoryservice-registration com.vmware.vim.dataservices.vcregtool.RegisterVC -action register -lookupserviceurl https://$vcenterhost:7444/lookupservice/sdk -isurl https://$vcenterhost:10443 -vcurl https://$vcenterhost/sdk/vimService -vccert /etc/vmware-vpx/ssl/rui.crt -vcprivkey /etc/vmware-vpx/ssl/rui.key -vcinstancecfg /etc/vmware-vpx/instance.cfg -vcendpointsdir /usr/lib/vmware-vpx/endpoints -vcextensionsdir /usr/lib/vmware-vpx/extensions

（色々出力されるが、省略）

Client was disposed successfully

Registration completed

Finished performing register action ★処理おわり

vc55u1-1:~ #

この時点でも vCenter は起動中ですが・・・

vc55u1-1:~ # service vmware-vpxd status

vmware-vpxd is running

tomcat is running

VCSA の vCenter サービス（vmware-vpxd）を再起動します。

vc55u1-1:~ # service vmware-vpxd restart

Stopping VMware vSphere Profile-Driven Storage Service...

Stopped VMware vSphere Profile-Driven Storage Service.

Stopping tomcat: success

Stopping vmware-vpxd: success

Shutting down ldap-server..done

Waiting for the embedded database to start up: success

Verifying EULA acceptance: success

Executing pre-startup scripts...

Updating the vCenter endpoint in the Lookup Service.

Intializing registration provider...

Getting SSL certificates for https://vc55u1-1.vmad.local:7444/lookupservice/sdk

Service with name 'vpxd-vc55u1-1.vmad.local-f3a732c6-22bb-489b-9d9e-5906b78e4bfa' and ID 'local:27633d4d-5111-42f8-a32e-b081d173bedb' was updated.

Return code is: Success

Starting ldap-server..done

Starting vmware-vpxd: success

Waiting for vpxd to initialize: .success

Starting tomcat: success

Executing startup scripts...

Autodeploy service is disabled, skipping registration.

Starting VMware vSphere Profile-Driven Storage Service...Waiting for VMware vSphere Profile-Driven Storage Service.......

VMware vSphere Profile-Driven Storage Service started. ★再起動完了。

vc55u1-1:~ #

再起動されました。

vc55u1-1:~ # service vmware-vpxd status

vmware-vpxd is running

tomcat is running

vc55u1-1:~ #

Web Client にログインしたままだと、インベントリの情報がそのままなので、

一旦ログアウトします。

ログインしなおすと、インベントリの情報が正しく表示されるようになりました。

vSphere 検証環境を作る時になどには、VCSA を使うことが多いと思います。

たまたま Web Client の情報表示がおかしくなったら、

VCSA を再デプロイする前に試してみると良いと思いました。

以上、VCSA の Inventory Service データベースのリセットでした。

「vSphere と OpenStack どっちがいいの」と聞かれることがあるので、簡単に絵をかいてみました。

それぞれ役割が違うので「どちらが」とは言えない感じだと思います。

まず、一般的な vSphere の使われ方ですが、サーバ仮想化をこんな感じで実現しています。

ESXi ハイパーバイザを、管理サーバ（vCenter）で管理します。

vSphere の主要な機能は、基本的に vCenter がある前提となっています。

ｖSphere の対抗となるサーバ仮想化製品は色々あります。

直接ハイパーバイザを操作することもありますが、

大規模向けの製品(構成)では、だいたい vSphere と同様に管理サーバが必須だと思います。

OpenStack と vSphere の関係を絵にしてみました。

OpenStack はサーバ仮想化をするものではなく、クラウド管理をするためのものとされています。

そのため、OpenStack は「vSphere と連携する」関係であって、

vSphere と直接的に対抗するものではないと考えられます。

また、絵には記載していませんが、OpenStack がクラウド管理を実現するために連携するのは

ハイパーバイザだけでなく、ストレージやネットワーク機器などとも連携します。

OpenStack を介することで

vSphere に限らず、クラウド環境を構成するハイパーバイザを

共通の API や共通の UI で管理することができるようになるはずです。

たとえば、ハイパーバイザが違っても、

Horizon Dashboard や nova glance CLI、なにか「内製ツール」的なもの等で

同じように管理できるようになるはずです。（理想的には・・・）

あえて OpenStack と対抗する VMware 製品を上げるとすると、

vRealize Automation（旧称 vCloud Automation Center。vCAC）あたりのようです。

以上、vSphere 等のサーバ仮想化製品と OpenStack の関係についてでした。

昨年に ひきつづき vExpert 2015 を受賞しました。

毎日の VMware 生活を評価いただき、うれしいです。

vExpert 2015 Announcement

せっかくなので

趣味で VMware エバンジェリストをやっている者だ

と どこかで言ってみようと思いました。

今年は vSphere 6.0 や NSX あたりに取り組みたいと思います。

以上です。これからもよろしくお願いします・・・

今月 2015年2月の初めに、vSphere 6.0 が発表されました。

いくつか、新機能についての資料も公開されてはじめています。

VMware vSphere 6.0 の新機能（日本語）

http://www.vmware.com/files/jp/pdf/vsphere/VMware-vSphere-Whats-New.pdf

What's New in the VMware vSphere 6.0 Platform（英語）

http://www.vmware.com/files/jp/pdf/vsphere/VMware-vSphere-Platform-Whats-New.pdf

海外の vExpert による vSphere 6.0 のブログ記事も、VMTN で紹介されています。

vSphere 6.0 vExpert Blog Articles Covering What’s New, Installation, VVOLS, vMotion, VSAN, Web Client and much much more

http://blogs.vmware.com/vmtn/2015/02/vsphere-6-0-vexpert-blog-articles.html

VM に構成できる vCPU / メモリ等の上限値 UP や、

クラスタ あたりの ESXi 台数の増加といったスケーラビリティ強化はもちろん

以前から話題になっていた、

• vCenter を越えた vMotion や、長距離 vMotion (LD vMoiton)
• 4 vCPU をもつ VM での vSphere FT ※いままでは 1 vCPU だけでした。
• vSphere Virtual Volumes（通称 VVOLs）

といった機能も追加されます。

ほかにも、色々と有益な改善や機能追加があるようです。

vSphere 6.0 は製品の正式なリリース（GA）前なので、

公開情報（と一部 予想）をもとに、

個人的に興味のある新機能や、機能拡張について紹介してみようと思います。

つづく・・・

vSphere 6.0 の新機能や機能拡張 について

いくつか紹介してみようと思います。

※GA 前製品の機能紹介のため、公開されている範囲（一部予想を含む）でお伝えします。

公式な新機能紹介については、こちら。

What's New in the VMware vSphere 6.0 Platform

https://www.vmware.com/files/pdf/vsphere/VMware-vSphere-Platform-Whats-New.pdf

今回は、vCenter を越えてた vMotion についての紹介です。

まず、だいぶ前の話ですが

vSphere 5.0 までは vMotion と Storage vMotion はそれぞれ別に実行するようになっていました。

vSphere 5.1 からは、vMotion + Storage vMotion が同時実行できるようになり、

vMotion 元 / 先 の ESXi がデータストアを共有していなくても

ライブ マイグレーションできるようになりました。

（クロスホスト ストレージ vMotion や、x-vMotion と呼ばれています。)

これにより、共有ストレージがない小規模な環境でも vMotion が活用できるようになり、

大規模環境では VM を移動する手順（操作）が簡素化できるようになりました。

しかし、vCenter を越えて vMotion することはできませんでした。

vSphere 6.0 では、さらに機能拡張され

vMotion が vCenter をまたいで実行可能になります。

vCenter が複数台あるような大規模環境や、システム移行 / 更改などで活用されそうな気がします。

VM のもつタスク履歴などは、vMotion 先の vCenter に引き継がれるように工夫されているようです。

vMotion で移動された VM の MAC アドレスも、内部的なブラックリストで管理されて、

アドレス自動生成による重複は避けられるようです。

vCenter を越えた vMotion ですが、とくに専用メニューがあるわけではなく

普通の vMotion と同じように(vSphere 5.1 で可能になった x-vMotion と同様に)実行できそうです。

強力な機能拡張ですが、運用シーンでは

そのうち意識されることなく普通に使われるようになる気がしました。

以上、vCenter 間での vMotion の話でした。

vSphere 6.0 の新機能や機能拡張 について

公開されている範囲（一部予想を含む）でお伝えします。

https://www.vmware.com/files/pdf/vsphere/VMware-vSphere-Platform-Whats-New.pdf

海外の vExpert による vSphere 6.0 のブログ記事・・・

vSphere 6.0 vExpert Blog Articles Covering What's New, Installation, VVOLS, vMotion, VSAN, Web Client and much …

今回は、vMotion のトラフィックをあつかうネットワークについての新機能についてです。

あまり派手な機能拡張ではありませんが、vSphere 6.0 から、

vMotion が、ネットワークセグメントを越えて（L3 経由で）実行可能になりました。

vSphere 5.5 までは、vMotion でデータを転送するネットワーク（VMkernel ポートの vMotion ネットワーク）が、

vMotion 元 / 先で同じネットワークセグメントである必要がありました。

vSphere 6.0 からは、 vMotion ネットワークが別セグメント（L3 経由）でもサポートされます。

ちなみに、

この機能拡張は、ESXi の VMkernel ポートで使用するネットワークの話であり、

VM（上のゲスト OS） が使用する IP アドレスが vMotion 前後で自動変更されるわけではありません。

ゲスト OS の IP アドレスが vMotion 前後で変更されたりはしないので、

いわゆる「サービスで利用するネットワーク」のポートグループは、vMotion 先の ESXi （の仮想スイッチ）にも用意しておき、

ちゃんと vMotion 後にも、ゲスト OS が ネットワークに接続できるようにしておく必要があります。

VMkernel ポート(vmkポート) は下記のような画面で設定するものです。

※vCenter 5.5 の　Web Client ですが・・・

この機能ですが、たとえば

• 既存の vSphere 環境を統合したり
• 旧バージョンの vSphere 環境を vSphere 6.0 にアップデートするときにアドレス設計が変更できなかったり

といった場合などに、vCenter 間の vMotion や LD-vMotion とあわせてメリットがありそうだと思いました。

以上、vMotion が L3 を越えられるようになる話でした。

vSphere 6.0 の新機能や機能拡張 について

公開されている範囲（一部予想を含む）でお伝えします。

https://www.vmware.com/files/pdf/vsphere/VMware-vSphere-Platform-Whats-New.pdf

あまり派手な機能拡張ではありませんが、

ESXi 6.0 では、vCenter 経由の操作についてのログ情報に

実際に vCenter にログインしたユーザ名が出力されるようになります。

ESXi では、vCenter からの操作を「vpxuser」という ESXi ローカルユーザで実行しています。

vpxuser ユーザはパスワードが自動変更されるようになっており、

このユーザがいることで ESXi で root や他のユーザのパスワード変更をしても、

vCenter からの接続には影響がありません。

ただ、これまで vCenter からの操作は、

ESXi のログファイル(hostd.log) には vpxuser ユーザが実行したようにしか記録されませんでした。

vSphere 5.5 までは、vCenter ローカルユーザログインしたとしても、

AD ユーザでログインしたとしても、

vCenter からの操作は、下記のように「vpxuser」の操作としてログ出力されていました。

vSphere 6.0 からは、たとえば

AD のユーザアカウントで vCenter にログインして ESXi 5.5 への操作をした場合に

user=vpxuser

とだけ表示されていたvCenter 経由操作のユーザ情報が・・・

ESXi 6.0 からは

user=vpxuser:<ADのドメイン名>\<ユーザ名>

といった感じになるはずです。

vSphere では、vCenter からの操作を基本としていて、ESXi 直接ログインでの操作は推奨されていません。

そのため、ほとんどの vSphere での作業は

vCenter にvSphere Client / Web Client / PowerCLI 等でログインして実行されているはずです。

※ESX Shell や SSH も、デフォルトでは無効化されています。

そして、もともと vCenter からの操作は

vCenter 自身にイベント / タスク情報やログファイルとして記録されているため

ESXi 側のログファイルに実ユーザが記録されていなかったとしても、そんなに問題ないとは思います。

それでも、ESXi のログイン監査や障害解析をするときには

操作の実ユーザがわかりやすくなるため、便利な機能拡張だと思います。

たとえば、Syslog サーバや、LogInsight に ESXi のログを Syslog 転送していて、

ログイン監査を厳密にやりたい場合などにメリットがあるはずです。

以上、ESXi 6.0 のログ出力についての機能拡張の話でした。

vSphere 6.0 の新機能や機能拡張 について

公開されている範囲（一部予想を含む）でお伝えします。

https://www.vmware.com/files/pdf/vsphere/VMware-vSphere-Platform-Whats-New.pdf

vSphere 6.0 では、vSphere FT で保護する VM に

4 vCPU まで割り当てられるようになります。

FT Server とは、

2台のサーバを1台に見せることで障害対策をするものです。

基本的に、1台のサーバがダウンしてもサーバは無停止で稼働したままとなります。

これを VM で実現したのが、vSphere FT です。

2つの VM で FT 構成をとります。

ただ、vSphere 5.5 までは、FT を有効にしている VM には

1 vCPU しか割り当てられませんでした。

vSphere 6.0 からの FT は、SMP-FT と呼ばれ

FT を有効にしている VM に 4 vCPU まで 割り当てられるようになります。

※vSphere 5.5 までの FT は、「レガシー FT」と呼ばれ、vSphere 6.0 でもまだ利用可能なようです。

ちなみに、以前の FT でも同様ですが、プライマリ / セカンダリ VM はどちらも稼働しているため、

4 vCPU を割り当てる場合は、プライマリ / セカンダリ VM それぞれに 4 vCPU、

あわせて 8 vCPU の割り当てをする（そしてリソースも消費する）ことになります。

いままで 1 vCPU では性能不足かもしれないと思って断念にしていた

色々なサーバで、FT を有効化できそうです。

ただし、VM あたりの vCPU 数だけでなく、ESXi あたりの制限もあるため

すべてを FT 保護するというわけにはいかなそうです。

※ESXi あたりの制限として、FT を有効化できるのは 4 VM まで、使用できる vCPU は合計で 8 個までのようです。

個人的に、「vCenter Server Heartbeat」の代替とかにもならないかと期待しています・・・

以上、vSphere 6.0 の SMP-FT についての話でした。

つづく・・・