Working with your SDDC Lab Manual

はじめに

このラボでは、プラットフォームを管理する際に VMware Cloud on AWS のユーザーインターフェースで行う基本的なタスクを見ていくことから始めます。

SDDC の表示

SDDC-Network-01

ログインすると、Student-Workshop-#.# というフォーマットの名前のシングル SDDC があります。SDDC は vSphere、NSX、vSAN そして vCenter Server を含む環境のデプロイが完了しています。このラボのために完全に構成された SDDC のデプロイはおよそ 2 時間ほど掛かります。今回のワークショップでは、これは既にデプロイ済みとなります。この SDDC は、皆様がデプロイした時と同じ状態になっています。それでは SDDC のプロパティを見ていきましょう。

  1. SDDC プロパティを開くために「詳細を表示」を最初にクリックしてください

SDDC-Network-02

まず SDDC のサマリが表示されます。さらに次にあげるいくつかのタブが用意されています:

  1. サポート - SDDC ID、組織 ID、vCenter のプライベート IP、パブリック IP、および SDDC がデプロイされた日付を確認できます。サポートに連絡する際にこれらの情報を使うことができます。
  2. 設定: vSphere Client(HTML5)、vCenter Server API、PowerCLI 接続、vCenter Server の FQDN および認証情報を確認できます。
  3. トラブルシューティング: 選択したユースケースのために必要なアクセスが確保できているかを確認するために、接続性確認ツールを実行できます。
  4. アドオン: Hybrid Cloud Extension や VMware Site Recovery といった VMware Cloud on AWS のためにアドオンサービスがあります。
  5. ネットワークとセキュリティ: 管理ゲートウェイとコンピュートゲートウェイの完全なダイアグラムを確認できます。ここでは、論理ネットワーク、VPN、ファイアウォールの構成を行えます。これらについては後述でより詳細な内容を見ていきます。次の項目に進むために「ネットワークとセキュリティ」をクリックしてください。VMware Cloud on AWS のネットワークとセキュリティの構成について見ていきます。

セグメント(論理ネットワーク)の作成

SDDC-Network-03

前の項目で、SDDC のネットワークとセキュリティの情報を確認しました。 VMware Cloud on AWS では、必要に応じて簡単且つ迅速に新しいセグメントを作成することができます。それでは SDDC に新しいネットワーク セグメントを作成しましょう。

  1. ネットワークとセキュリティ タブをクリックし、次に既存のネットワーク セグメントを全て表示するために セグメント をクリックします。
  2. 新しいネットワーク セグメントを追加するために セグメントの追加 をクリックします。
  3. 新しいネットワーク セグメントの名前 Demo-Net を入力します。
  4. ゲートウェイとプリフィックス長のために、10.10.xx.1/24(xx は受講者番号になります)を入力します。これはデフォルト ゲートウェイとなります。
  5. DHCP については、ネットワーク上で DHCP を有効にするために下矢印をクリックして「有効」を選択します。
  6. DHCP IP アドレス範囲10.10.xx.10-10.10.xx.200 と入力します。これは、ネットワークに接続されるワークロードに DHCP サーバーが付与する IP アドレスの範囲になります。
  7. セグメント(論理ネットワーク)を保存するために、保存 をクリックします。

注意: タイプはデフォルトのルーティングのままとなっていることを確認してください。また DNS サフィックスは何も入力しないで下さい。

ネットワークセグメントの構成確認

SDDC-Network-04

  1. ネットワーク セグメントの構成が正しく追加されたことを確認します。構成は上図のハイライトされた部分と一致しているはずです。

vCenter へのアクセスのためのファイアウォール ルールの構成

SDDC-Network-05

デフォルトでは、VMware Cloud on AWS の全てのインバウンド ファイアウォール ルールは拒否に設定されています。vCenter Server にアクセスするために、インバウンドアクセスを許可するファイアウォール ルールを構成する必要があります。

殆どのエンタープライズ向けの環境では、vCenter への制限されたアクセスのためのファイアウォール ルールを VPN か Direct Connect に適用すると思われます。この環境ではインターネットに全ての IP アドレスに対してオープンに設定しますが、これは推奨されません。

  1. スクリーン左側にて、ゲートウェイ ファイアウォール をクリックします。
  2. もし選択されていないのであれば、SDDC で管理コンポーネントへのアクセスを許可するファイアウォール ルールを作成するために 管理ゲートウェイ をクリックします。
  3. 管理ゲートウェイに新しいルールを追加するために 新しいルールの追加 をクリックします。
  4. 名前vCenter Inbound Rule と入力します。
  5. ファイアウォール ルールの送信元を定義するために 送信元の設定 をクリックします。

ファイアウォール ルールの送信元の選択

SDDC-Network-06

  1. Any のとなりにある ラジオボタン をクリックします。
  2. このルールの送信元の情報を保存するために SAVE をクリックします。

vCenter へのアクセスのためのファイアウォール ルールの構成(続き)

SDDC-Network-07

  1. ファイアウォール ルールの宛先を設定するウィンドウを開くために 宛先の設定 をクリックします。

ファイアウォール ルールの宛先の選択

SDDC-Network-08

  1. System Defined Group のとなりにある ラジオボタン をクリックします。
  2. vCenter のとなりの ラジオボタン を選択します。
  3. このルールの宛先情報を保存するために SAVE をクリックします。

vCenter へのアクセスのためのファイアウォール ルールの構成(続き)

SDDC-Network-09

vCenter Inbound Rule の構成を続けます:

  1. vCenter Server への SSL アクセスを許可するために、サービス の列にあるボックスをクリックし、HTTPS (TCP 443) を選択染ます。
  2. ファイアウォール ルールを有効化するために 発行 ボタンをクリックします。

インターネットのどこからでも vCenter がアクセスできるようになりました。次の項目では、仮想マシンを構成していくために vCenter HTML5 クライアントにアクセスします。

VMware Cloud on AWS の vCenter へログイン

SDDC-vcenter-010

SDDC の vCenter Server に接続するための設定は、SDDC の設定タブにあります。それでは vCenter Server に接続しログインしましょう。

  1. これまで構成してきた SDDC の 設定 タブをクリックします。
  2. ログイン情報を表示するために「デフォルトの vCenter Server ユーザー アカウント」のとなりにある 矢印 をクリックします。このラボではデフォルトの cloudadmin@vmc.local を利用します。
  3. パスワードのとなりにある 2 つに重なった四角をクリックし、パスワード をコピーします。
  4. vCenter Server の URL を表示するために、vSphere Client (HTML5) のとなりにある 矢印 をクリックします。
  5. 別のタブで vSphere Client を開くために URL リンクをクリックします。

注意: もし以下の手順でなんらかのログインの問題がある場合には、URL のとなりにある 2 つに重なった四角をクリックし URL をコピーし、シークレット ウィンドウに URL をペーストします。これは通常必要ないはずです。

vSphere Client (HTML5) へのログイン

vSphere Client (HTML5) へログインするには:

SDDC-vcenter-011

  1. ユーザー名フィールドに cloudadmin@vmc.local. を入力します。
  2. 前のステップでコピーしたパスワードを、パスワード フィールドを右クリックしてペーストします。
  3. ログイン をクリックします。

vSphere Client (HTML5)

SDDC012

これで cloudadmin@vmc.local ユーザーとして VMware Cloud on AWS の vCenter Server にログインできました。

コンテンツ ライブラリの作成

コンテンツ ライブラリは、仮想マシン テンプレート、vApp テンプレート および ISO ファイルなどのその他のタイプのファイルのためのコンテナ オブジェクトです。

vSphere Client でコンテンツ ライブラリを作成できます。コンテンツ ライブラリは、仮想マシンや vApp を VMware Cloud on AWS の環境にデプロイするために使うことができます。また、オンプレミスのデータセンターにすでにコンテンツ ライブラリを持っている場合は、そのコンテンツ ライブラリを使って SDDC にコンテンツをインポートすることもできます。

ライブラリは、ローカル ライブラリおよび購読済みライブラリの 2 種類作成することができます。

ローカル ライブラリ

ローカル ライブラリは、一つの vCenter Server インスタンスにアイテムを保存するのに利用できます。他の vCenter Server システムのユーザーが購読 (Subscribe) するために、ローカル ライブラリを公開することができます。外部にコンテンツ ライブラリを公開する際は、認証のためのパスワードを設定することができます。

VM テンプレートと vApp テンプレートは、コンテンツ ライブラリに OVF ファイル フォーマットで保存で保存されます。また、ISO イメージ、テキスト ファイルなど その他のファイル タイプも、コンテンツ ライブラリにアップロードできます。

サブスクライブ済みライブラリ

サブスクライブ済みライブラリを作成することで、公開されたライブラリをサブスクライブすることができます。サブスクライブ済みライブラリは、公開されたライブラリがある同じ vCenter Server インスタンスにも作成でき、また異なる vCenter Server システムにも作成することができます。「ライブラリの作成」ウィザードでは、2 つの選択肢があります。サブスクライブ済みライブラリが作成された後、公開されたライブラリの全てのコンテンツを直ぐにダウンロードするか、公開ライブラリのアイテムのメタデータのみをダウンロードしアイテムを利用する際に後からそのアイテムの全てのコンテンツをダウンロードするかを選択できます。

サブスクライブ済みライブラリのコンテンツが最新であることを保証するために、サブスクライブ済みライブラリは、一定時間毎にソースとなる公開されたライブラリと自動的に同期します。また、手動でサブスクライブ済みライブラリを同期させることもできます。

ソースの公開ライブラリから直ぐにコンテンツをダウンロードするオプションと、ストレージ容量を節約するために必要に応じてダウンロードするオプションのどちらかを利用できます。

公開ライブラリのコンテンツを全て直ぐにダウンロードするオプションに設定されたサブスクライブ済みライブラリの同期は、アイテムのメタデータとアイテムのコンテンツの両方を同期させます。同期中、サブスクライブ済みライブラリにとって新しいライブラリアイテムは、サブスクライブ済みライブラリのストレージ ロケーションに全てダウンロードされます。

必要に応じてコンテンツをダウンロードするオプションに設定されたサブスクライブ済みライブラリの同期は、公開ライブラリからライブラリ アイテムのメタデータのみを同期し、アイテムのコンテンツはダウンロードしません。これによりストレージ容量を節約できます。ライブラリ アイテムを利用する必要がある際は、そのアイテムを同期させる必要があります。そのアイテムを利用した後は、ストレージのスペースを開放するためにそのアイテムのコンテンツを削除できます。必要に応じてコンテンツをダウンロードするオプションに設定されたサブスクライブ済みライブラリでは、ライブラリのアイテムの同期ではストレージに全てのコンテンツをダウンロードするのに対し、サブスクライブ済みライブラリの同期はソースとなる公開ライブラリの全てのアイテムのメタデータのみをダウンロードします。

サブスクライブ済みライブラリを使う場合、コンテンツを追加することはできず、コンテンツは利用することしかできません。公開ライブラリの管理者のみが、テンプレートやファイルを管理することができます。

vSphere Client のコンテンツ ライブラリへアクセス

SDDC013

  1. メニュー をクリックします。
  2. コンテンツ ライブラリ をクリックします。

既存のコンテンツ ライブラリのサブスクライブ

SDDC014

  1. 新しいコンテンツ ライブラリを追加するために、コンテンツ ライブラリ ウィンドウにて +(プラス) マークをクリックします。

SDDC015

  1. ライブラリの名前に VMC Content Library と入力します。
  2. Next ボタンをクリックします。

SDDC016

  1. サブスクライブ済みコンテンツ ライブラリ のとなりのラジオボタンを選択します。
  2. サブスクリプション の下に次の URL を入力します: https://vmc-elw-vms.s3-accelerate.amazonaws.com/lib.json
  3. 認証の有効化 のとなりのチェックボックスは チェックしない ままとします。
  4. 今すぐ となっていることを確認します。
  5. Next をクリックして次に進みます。

SDDC017

  1. コンテンツ ライブラリのストレージとして WorkloadDatastore をクリックします。
  2. Next ボタンをクリックします。

SDDC018

  1. Finish ボタンをクリックします。

注意: テンプレートの数とサイズによって、コンテンツの同期に時間が掛かります。このコンテンツ ライブラリは同期に数分しかかかりません。

Linux カスタマイズ仕様の作成

仮想マシンをクローンする時、またはテンプレートから仮想マシンをデプロイする時に、コンピューター名、ネットワーク設定、ライセンス設定などのプロパティを変更するために、仮想マシンのゲスト オペレーティング システムをカスタマイズすることができます。

ゲスト オペレーティング システムをカスタマイズすることで、同一の仮想マシンをデプロイするといったようなコンピューター名の衝突を避けることができます。

カスタマイズ仕様の設定は、クローンまたはデプロイ プロセスの途中にゲスト カスタマイゼーション ウィザードを起動することで設定できます。また、その代わりとしてカスタマイズ仕様を作成することもできます。これは vCenter のデータベースに保存されます。クローンまたはデプロイ プロセスの中で、新しい仮想マシンに適用するカスタマイズ仕様を選択することができます。

それでは、ゲスト カスタマイゼーション ウィザードを使ってカスタマイズ仕様マネージャーでカスタマイズ仕様を作成しましょう。

カスタマイズ仕様の表示

SDDC019

  1. メニュー をクリックします。
  2. ポリシーおよびプロファイル をクリックします。

新しい仮想マシン カスタマイズ仕様の作成

SDDC020

  1. Linux カスタマイズ仕様を作成するために + 新規 をクリックします。

カスタマイズ仕様の詳細を定義

SDDC021

  1. Linux カスタマイズ仕様の 名前 を入力します。(この例では LinuxSpec とします).
  2. 任意に 説明 を入力します。
  3. ターゲット ゲスト OS のとなりの Linux ラジオボタンを選択します。
  4. 次に進むために Next ボタンをクリックします。

仮想マシンの命名標準の定義

SDDC022

  1. 仮想マシン名を使用 のとなりの ラジオボタン をクリックします。
  2. ドメイン名 には corp.local と入力します。
  3. 次に進むために Next をクリックします。

タイムゾーンの選択

SDDC023

  1. ドロップ ダウン フィールドのとなりにある矢印をクリックし、適切な エリア を選択します。
  2. 場所 適切な場所を選択します。
  3. 次に進むために Next をクリックします。

ネットワーク設定の選択

SDDC024

  1. ゲスト OS に標準ネットワーク設定を使用します(すべてのネットワーク インターフェイスで DHCP を有効化など) のとなりにあるラジオボタンが選択されていることを確認します。
  2. 次に進むために Next をクリックします。

DNS 設定の入力

SDDC025

  1. プライマリ DNS サーバーに 8.8.8.8 を入力します。
  2. セカンダリ DNS サーバーに 8.8.4.4 を入力します。
  3. DNS 検索パスに corp.local を入力します。
  4. corp.local ドメインを DNS 検索パスに追加するために 追加 ボタンをクリックします。
  5. Click Next to continue. 次に進むために Next をクリックします。

カスタマイズ使用の作成の終了

SDDC026

  1. 入力した内容を確認し Finish ボタンをクリックします。

カスタマイズ使用の作成完了

SDDC027

おめでとうございます! Linux 仮想マシン向けの仮想マシン カスタマイズ使用の作成に成功しました。カスタマイズ使用は、エクスポート(複製)、編集、インポートすることができます。

仮想マシンのデプロイ

SDDC-deploy-vm-013

既にオープンされている vSphere Client のウィンドウで、コンテンツ ライブラリからテンプレートをデプロイします:

  1. メニュー をクリックします。
  2. コンテンツ ライブラリ をクリックします。

コンテンツ ライブラリの選択

SDDC-deploy-vm-028

  1. 前の手順で同期した VMC Content Library をクリックしてください。

テンプレートからの新しい仮想マシンのデプロイ

重要 2019年5月21日現在、HTML 5 ベースの vSphere Client において、コンテンツライブラリからのテンプレートの展開に問題が発生しています。ワークアラウンドとして、Adobe Flash ベースの vSphere Client を利用してください。Adobe Flash ベースの vSphere Client の UI は、以下のアドレスにアクセスします。

https://${cloud_vcenter_hostname}/vsphere-client/

${cloud_vcenter_hostname} は HTML 5 ベースの vSphere Client の URL と同じ値が利用されます。

SDDC-deploy-vm-029

  1. コンテンツ ライブラリ内の同期されたテンプレートにアクセスするために、テンプレート タブをクリックします。
  2. アクション メニューを表示するために photoapp-u テンプレートを右クリックします。
  3. テンプレートから仮想マシンをデプロイするために このテンプレートから仮想マシンを新規作成 をクリックします。

仮想マシンの名前と場所の選択

SDDC-deploy-vm-030

  1. 仮想マシンの名前として webserver01 を入力します。
  2. SDDC-DataCenter のとなりの 矢印 をクリックし、フォルダー配下を表示します。
  3. VMware Cloud on AWS では、お客様のワークロードは ワークロード フォルダー(あるいはそのサブフォルダー)に置かれなければなりません。Workloads フォルダーをクリックします。
  4. オペレーティング システムのカスタマイズ のとなりの チェックボックス を選択します。
  5. 次に進むために Next をクリックします。

仮想マシン カスタマイズ仕様を選択

SDDC-deploy-vm-031

オペレーティング システムをカスタマイズするために、前の項目で作成したカスタマイズ仕様を使います。

  1. LinuxSpec カスタマイズ仕様をクリックします。
  2. 次に進むために Next をクリックします。

リソースプールを選択します。

SDDC-deploy-vm-032

  1. Cluster-1 のとなりの 矢印 をクリックし、配下のリソースプールを表示します。
  2. VMware Cloud on AWS では、お客様のワークロードは Compute-ResourcePool (もしくはそのサブ リソースプール)に配置されなければなりません。Compute-ResourcePool を選択します。
  3. 次に進むために Next をクリックします。

テンプレートの詳細の確認

SDDC-deploy-vm-033

デプロイされるテンプレートの詳細を確認します。セキュリティの警告が表示されるかも知れませんが、このラボでは無視して問題ありません。

  1. 次に進めむために、Next をクリックします。

ストレージの選択

SDDC-deploy-vm-034

VMware Cloud on AWS は、管理ワークロードとお客様のワークロードを分離するために 2 つのデータストアを持ちます。全てのお客様のワークロードは、WorkloadDatastore という名前のデータストアに配置されなければなりません。

  1. 仮想マシンがプロビジョニングされるデータストアを選択するために WorkloadDatastore をクリックします。
  2. 次に進むために Next をクリックします。

仮想マシンのネットワークを選択します

SDDC-deploy-vm-035

仮想マシンのために、前の項目で作成した論理ネットワークを使います。

  1. 仮想マシンのネットワークを選択するために、Click the arrow below Destination Network to select the network for the virtual machine.
  2. 前の項目で作成したネットワークを選択するため、Demo-Net をクリックします。
  3. 次に進むために Next をクリックします。

仮想マシンのデプロイの完了

SDDC-deploy-vm-036

  1. ここまで入力した情報を確認し、仮想マシンをデプロイするために Finish をクリックします。

仮想マシンのデプロイが終わるまでに数分かかります。次の項目では、2 つ目の Web サーバーを作成するためにこの仮想マシンのクローンします。

仮想マシンのクローン

この項目では、2 つ目の Web サーバーを作成するために前の項目で作成した仮想マシンをクローンします。

仮想マシンとテンプレートの表示

SDDC-clone-vm-037

  1. 前の項目の仮想マシンのデプロイが完了したことを確認するために、OVF テンプレートのデプロイ タスクを探し、それが 完了 していることを確認します。
  2. 完了しているならば、メニュー をクリックします。
  3. 仮想マシンとテンプレート をクリックして、仮想マシンとテンプレートのビューを表示してします。

Webserver01 のパワーオン

SDDC-clone-vm-038

Web サーバーをクローンする前に、カスタマイズ仕様が実行されるように、まず最初に仮想マシンを起動します。

  1. サブフォルダーを表示するために SDDC-Datacenter のとなりの 矢印 をクリックします。
  2. webserver01 を表示するために Workloads のとなりの 矢印 をクリックします。
  3. 仮想マシン webserver01 をクリックします。
  4. 仮想マシンをパワーオンするために、画面上部中央の 緑の矢印 をクリックします。

注意: 次の項目に進む前に、仮想マシンが完全にパワーオンされるまでお待ち下さい

仮想マシンのクローン実行

SDDC-clone-vm-039

それでは仮想マシンのクローンを行いましょう。

  1. アクション メニューを表示するために webserver01 を右クリックします。
  2. セカンダリ メニューを表示するために クローン作成 をクリックします。
  3. クローン ウィザードを起動するために 仮想マシンにクローン作成 をクリックします。

仮想マシンの命名とフォルダーの選択

SDDC-clone-vm-040

  1. 仮想マシン名 のとなりに webserver02 と入力します。
  2. 仮想マシンの配置場所として Workloads フォルダをクリックします。
  3. 次に進むために Next をクリックします。

仮想マシンのコンピュート リソースを選択

SDDC-clone-vm-041

  1. 対象となる仮想マシンのために Compute-ResourcePool をクリックします。
  2. 次に進むために Next をクリックします。

仮想マシン データストアの選択

SDDC-clone-vm-042

  1. 対象となる仮想マシンのために WorkloadDatastore をクリックします。
  2. 次に進むために Next をクリックします。

クローン オプションの選択

SDDC-clone-vm-043

ここではクローン作成時のオプションを設定します。サーバー名の変更といったオペレーティング システムのカスタマイズや、クローン作成完了時に仮想マシンをパワーオンするには必要となります。

  1. オペレーティング システムのカスタマイズ のとなりのチェックボックスをクリックします。
  2. 作成後に仮想マシンをパワーオン のとなりのチェックボックスをクリックします。
  3. 次に進むために Next をクリックします。

仮想マシン カスタマイズ仕様の選択

SDDC-clone-vm-044

オペレーティング システムをカスタマイズするために前の項目で作成したカスタマイズ仕様を利用することができます。

  1. カスタマイズ仕様 LinuxSpec を選択するためにクリックします。
  2. 次に進むために Next をクリックします。

仮想マシンのデプロイの完了

SDDC-clone-vm-045

  1. 入力した情報を確認し、仮想マシンをクローンするために Finish をクリックします。

仮想マシンをクローンするには 2−3 分程度掛かります。以降の項目では、VMware Cloud on AWS でワークロードを安全に保護する方法を学びます。

仮想マシン間の接続性テスト

この項目では、前の項目で作成した webserver01 と webserver02 間の接続性テストを行います。

Webserver01 のコンソール

SDDC-test-vm-046

webserver02 に通信できることを確認するために、webserver01 へのコンソール セッションを開きます。

  1. vSphere Client にて、webserver01 を選択済みにするため、webserver01 をクリックします。
  2. サマリタブの画面中程にある黒い四角をクリックします。この操作は、新しいコンソール セッションを開こうとしますが、もしかするとポップアップがブロックされ開けないかも知れません。その場合は、以下の 3−6 のステップを実行し、そうでなければ次の項目に進みます。
  3. ポップアップ ブロッカー ダイアログを開くために Chrome のアドレス バーにある小さな赤い X マークのアイコンをクリックします。
  4. 「https://vcenter.sddc-xx-xx-xxxx.vmwarevmc.com のポップアップを常に許可する」のとなりのラジオボタンをクリックします。
  5. 完了をクリックします。
  6. サマリタブに戻り黒い四角をもう一度クリックします。こんどは新しいタブでコンソール セッションが開くはずです。

Webserver02 の IP アドレスの確認

SDDC-test-vm-047

2 つのサーバー間の接続性をテストする前に、webserver02 の IP アドレスを確認する必要があります。

  1. フォーカスを戻すために、vSphere Client (HTML5) の Chrome Tab をクリックします。
  2. 仮想マシン webserver02 をクリックします。
  3. 画面中程の webserver02 の IP アドレス をメモします。これは以降の項目で必要となります。
  4. フォーカスを戻すために、webserver01 のコンソール セッションの Chrome Tab をクリックします。

ログインと webserver02 への ping

SDDC-test-vm-048

webserver02 の IP アドレスが確認できましたので、接続性を確認するために ping を実行しましょう。

作業を始める前に、フォーカスをコンソール ウィンドウに合わせるためコンソール ウィンドウのどこかをクリックします。

  1. ログイン プロンプトで root と入力し、Enter を押下します。
  2. パスワード プロンプトで VMware1! と入力し、Enter を押下します。
  3. コンソール プロンプトで、ping 10.10.xx.xxx と入力し Enter を押下します。3 番目のオクテットは受講者番号を、最後のオクテットは大体の場合 101 となります。異なる場合は構成を確認してください。
  4. ping が成功していることを確認してください。

注意: 次のレッスンで利用するため、コンソール ウィンドウは開いたままとし、ping も実行し続けておいて下さい。web サーバーが通信できなくなることをこの後確認することになります。

おめでとうございます。これで VMware Cloud on AWS 上に 2 つの Web サーバーがデプロイされ、お互いが通信できることを確認できました。次のレッスンでは、サーバー間のお互いの通信をブロックするファイアウォール ルールを作成します

VMware Cloud on AWS アドバンスド ネットワーク サービスの構成

新しくデプロイされた SDDC では、VMware Cloud on AWS アドバンスド ネットワーク サービスが利用できます。

VMware Cloud on AWS アドバンスド ネットワーク サービスにおける分散ファイアウォール

DFW-01

VMware Cloud on AWS のアドバンスド ネットワーク サービスを使うことで、分散ファイアウォールを使ってマイクロセグメンテーションを実装することができるようになります。粒度の細かいセキュリティ ポリシーを仮想マシンレベルに適用することができます。このポリシーでは、同じ L2 ネットワークや L3 を跨いだセグメンテーションを可能とします。これは上の図のとおりとなります。

全てのネットワークとセキュリティの構成は、VMware Cloud on AWS コンソールのネットワークとセキュリティ タブを通して行われます。ネットワークセグメントの作成もこの UI を通して行います。コンソールからネットワークとセキュリティの全てにアクセスできることで運用と管理の簡便さを提供しています。

分散ファイアウォール

DFW-02

上のスクリーンショットで確認できるように、複数のセクションを作成できるだけでなく、ユーザーは分散ファイアウォール ルールをグループ(緊急時ルール、インフラストラクチャ ルール、環境ルール、アプリケーションルール)に整理することができます。ルールは上から下に適用されます。

セキュリティ グループ

DFW-03

分散ファイアウォール機能に加えて、セキュリティ ポリシーでオブジェクトをグループ化する機能を利用できます。セキュリティグループは、以下のグルーピングをサポートしています。

  • IP アドレス
  • VM インスタンス
  • 仮想マシン名とのマッチング基準
  • セキュリティ タグとのマッチング基準

上にあるように、セキュリティ グループはワークロード グループと管理グループの配下に作成されます。ワークロードグループは、分散ファイアウォールと CGW のファイアウォール ポリシーに使われ、管理グループは MGW ファイアウォール ポリシーに使われます。管理グループはインフラベースとなるため、IP アドレスのみをサポートします。定義済みの管理グループのグループとして、vCenter、ESXi ホスト、NSX Manager があります。ユーザーは、オンプレミスの ESXi ホスト、vCenter、その他の管理アプライアンスのために IP アドレスベースのグループを個々に追加することができます。

セキュリティ グループでの仮想マシンの確認

DFW-04

vCenter でデプロイした仮想マシンを確認することもできますが、コンソールのインベントリでも仮想マシンを確認することができます。加えて、各々 Web、App、DB といったセキュリティタグが仮想マシンにタグ付けされています。

仮想マシンのタグ付け

DFW-tag-05

VMware Cloud on AWS コンソールにて、仮想マシンにセキュリティ タグを適用し、そしてこれをグルーピングに用います。

VMware Cloud on AWS のコンソールに戻りましょう。

  1. VMware Cloud on AWS タブ をクリックします。もしセッションが期限切れとなっている場合には、ログインし直してください。
  2. SDDC の詳細にアクセスするため 詳細 をクリックします。

Webserver01 のタグ編集

ここでは仮想マシンにセキュリティ タグをタグ付けします。

DFW-tag-06

  1. ネットワーク構成を変更するために ネットワークとセキュリティ タブをクリックします。
  2. 画面左の グループ をクリックします。
  3. グループの下部、SDDC の一部の仮想マシンにアクセスするために 仮想マシン をクリックします。
  4. webserver01 の横にある縦に並んでいる 3 つの点をクリックし、続いて編集をクリックします。

Web サーバーのセキュリティ タグの追加

DFW-tag-07

  1. タグの下に webserver01 のためのタグ Web を入力します。
  2. 変更を反映するために Save をクリックします。

Webserver02 のタグ編集

DFW-tag-08

次に Webserver02 に同じ Web タグをタグ付けします。このタグにより両方の Web Server のためのグループを作成します。

  1. webserver02 の横にある縦に並んでいる 3 つの点をクリックし、編集 をクリックします。

Webserver02 のセキュリティ タグの追加

DFW-tag-09

  1. タグの下に webserver02 のためのタグ Web を入力します。
  2. 変更を反映するために Save をクリックします。

動的グループの作成

DFW-tag-010

VMware Cloud on AWS のアドバンスド ネットワーク サービスにおいて、グループは、仮想マシンをグループ化し、ルールの構成を単純化するために利用されます。この演習では、2 つの Web サーバーを一つのグループにし、これらの間の通信をブロックするファイアウォール ルールを作成します。適切に設計された従来型のアプリケーションでは、Web 層のサーバー同士は通信する必要がありません。

ここでは、前の項目で作成した動的なセキュリティ タグを基にして Web サーバーのグループを作成します。

  1. ワークロード グループ をクリックします。
  2. グループの追加 をクリックします。
  3. 名前の下に、グループの名前となる Web を入力します。
  4. メンバーのタイプの下の ドロップダウン をクリックし Membership Criteria を選択します。
  5. メンバーの下の メンバーシップ基準の設定 をクリックします。

メンバーシップ基準の追加

DFW-tag-011

ここではセキュリティ タグを基にして、仮想マシンをグループ化する基準を追加します。

  1. + Add Criteria をクリックします。
  2. Property の下の ドロップダウン をクリックし、タグ を選択します。
  3. Value の下で Web を選択します。
  4. 次に進むために Save をクリックします。

ワークロード グループの変更の保存

DFW-tag-012

  1. 変更を反映するために 保存 をクリックします。

メンバーの表示

DFW-tag-013

ここでは、グループ メンバーシップが期待通りに機能しているかどうかを確認します。

  1. Web グループ横の 縦に 3 つ並んだ点 をクリックします。
  2. 動的グループの現在のメンバーを表示するために メンバーの表示 をクリックします。

グループ メンバーの確認

DFW-tag-014

  1. グループ メンバーシップに webserver01webserver02 の両方が含まれていることを確認します。含まれていなかった場合、前の手順に戻り打ち間違えがないかどうかを確認します。
  2. Close をクリックします。

これでグループが作成されました。セキュリティ シンプルにタグを適用することで、簡単に新しいメンバーを追加することができます。

ファイアウォール ルール セクションの作成

DFW-tag-015

動的グループが作成されましたので、Web サーバー間のアクセスをブロックするファイアウォール ルールを作成しましょう。

  1. 画面左の 分散ファイアウォール をクリックします。
  2. アプリケーション ルール をクリックします。
  3. ルールのための新しいセクションを作成するため、新しいセクション をクリックします。この機能により、環境の運用を簡単にするために論理的にルールをグループ化することができます。
  4. 名前の下で Web Tier と入力します。
  5. 変更を反映するために 発行 をクリックします。

ファイアウォール ルールの追加

DFW-tag-016

セクションが作成されたので、ファイアウォール ルールを作成することができます。

  1. Web Tier セクションのとなりの 矢印 をクリックします。
  2. ルールの上のメニューから 新しいルールの追加 をクリックします。
  3. 名前の下に Block Web To Web と入力します。
  4. アクションの下で、ドロップダウン をクリックし、ドロップ を選択します。
  5. 送信元の下で、Any をクリックします。

送信元の選択

DFW-tag-017

  1. Web のとなりの チェックボックス をクリックします。
  2. ルールの変更を反映するために Save をクリックします。

宛先の追加

DFW-tag-018

  1. 宛先の下の Any をクリックします。

宛先の選択

DFW-tag-019

  1. Web のとなりの チェックボックス をクリックします。
  2. ルールの変更を反映するために Save をクリックします。

ファイアウォール ルールの発行

DFW-tag-020

  1. ルールを反映するために 発行 をクリックします。このあと Web サーバー間のトラフィックはブロックされます。

分散ファイアウォール ルールのテスト

DFW-tag-021

まだ webserver01 に対する前の演習でコンソールセッションが開いており、ping コマンドが実行されたままのはずです。

  1. webserver01 の Chrome タブをクリックします。
  2. webserver02 の IP アドレス 10.10.xx.xxx へ ping します。

ping の反応がなくなっているはずです。これは分散ファイアウォール ルールが正しき適用されていることを意味します。この簡単なデモンストレーションで分散ファイアウォールのメリットをご理解頂けたかと思います。

まとめ

このモジュールでは、コンテンツライブラリの利用、仮想マシンのデプロイ、ファイアウォールの修正と仮想マシンへの適用といった VMware Cloud on AWS の構成・設定を見てきました。

シングル ホスト SDDC

このラボを気に入って頂き、VMware Cloud on AWS の機能をテストされたい場合には、1 ホスト SDDC を開始するために以下の QR コードをスキャンして下さい。

DFW-tag-022

これでこのラボは完了しました。

この演習にフィードバックを頂ける場合は、以下にコメントをご記入下さい。

Updated:

Leave a Comment