VMware vSphere Foundation 9 の構築 その１ 新規構築と既存環境の移行について

今回は VMware vSphere Foundation 9（VVF9）の新規構築と vSphere 8 をアップグレードして VVF9 にする方法について解説したいと思います。
VVF9 は VMware Cloud Foundation 9（VCF9） から Aria製品や NSX をなくしたような製品で、VCF9 をコンパクトにしたようなものです。

★注意点★
vCenter/ESX をバージョンアップして 9 にすると、VCF Operations 以外からライセンスを割り当てることができなくなります。
適用できるライセンスも、VVF/VCFのライセンスだけになるためその点にはご注意ください。

VMware vSphere Foundation 9 の新規構築 と vSphere 8 からの移行の作業イメージ
※必要なISOイメージなどはBroadcomのダウンロードサイトから入手済みとします。

新規構築の場合。
以下の順で作業を行います。
1. ESX 9 を新規インストールして初期設定を実施（VCF と同様の内容）
2. VCF Installer をOVAファイルから展開
3. VCF Installer の UI から vCenter と VCF Operations を展開して VVF9 として構築

図で表すと以下です。

既存の vSphere 8 環境（vCenterとESXのみの環境）を VVF9 へ移行
1. vCenter 8 を vCenter 9 へアップグレード
2. Lifecycle Manager から ESX 8 を ESX 9 へアップグレード
3. VCF Installer をOVAファイルから展開
4. VCF Installer の UI から既存 vCenter を指定し VCF Operations を展開して VVF9 として構築

図で表すと以下になります。

それぞれこのような手順となります。
次回は、実際に VCF Installer で行う初期設定がどのような画面になるのかを解説しようと思います。

ESET HOME セキュリティの「個人情報漏えい監視機能」を使ってみた

私は、自宅でESET HOME セキュリティ3年版を利用しています。今年更新のため、キャンペーンで割安になっていたESET HOME セキュリティ アルティメットを試しに利用してみることにしました。

ESET HOME セキュリティ アルティメットでは、「個人情報漏えい監視」機能を利用できます。ESET HOMEの管理画面から「姓、名、メールアドレス、口座番号」を設定してそれらの情報がダークウェブ上で売買されているか確認する仕組みのようです。（姓名はどちらもアルファベットのみ）

せっかくなので、姓、名と私が利用しているメールアドレスを複数登録してみました。メールアドレスは9つまで追加できます。（ESET 登録メールアドレス＋9つまで）

設定してからしばらくすると、ESET から漏えい検出のお知らせが届きました。

まさか、漏洩しているなんて思ってもいませんでした。急いでESET Homeサイトにサインインして情報を確認。なんと、昔、漏洩がニュースになっていたWebサービスや数年前にドメイン取得した時の個人情報を検出したようです。びっくり。。

検出されたWebサービスはもう利用していなかったので、アカウントは削除しました。また、検出されたドメインはすでに利用していません。現在はドメイン所有者の情報を非公開にするドメインサービスを利用しているため、今後同様に漏洩する心配はなさそうです。

今回の教訓。

• パスワードは使いまわさない
• 利用しないアカウントは削除する
• 個人情報の公開には気を付ける
• メールアドレスは増やしすぎない

ご自分のアカウントが心配になった方は、一度試してみると良いかと思います。

　ESET HOME セキュリティ アルティメット
　https://eset-info.canon-its.jp/home/eset-home-security-ultimate/

　ESET HOME セキュリティ 個人情報漏えい監視
　https://eset-info.canon-its.jp/home/feature/identity-protection/

　サポート情報　（個人向け製品）　個人情報漏えい監視機能について
　https://eset-support.canon-its.jp/faq/show/30448

VMware vSphere Foundation 9 の構築 その５ VCF Operations の設定

VCF Operations に vCenter を登録し VCF Operations から情報を分析できるようにします。 ※VVF 展開後に VCF Operations からライセンス登録を行う必要がありますが、登録できるライセンスがないのでここでは扱いません。
　ご了承ください。
展開した VCF Operations にログインします。

次へ進みます。

エンドユーザー使用許諾契約書に同意します。

次へ進みます。

完了をクリックします。

VCF Operations の画面になるので『管理』の『統合』表示し『追加』をクリックします。

アカウントタイプでvCenterを選びます。

vCenter の情報を入力し『追加』します。

追加した vCenter を選択し『収集の開始』を行って情報を収集し分析ができるようにします。

時間がたつとステータスが取集中になります。

これで、VCF Operations で vCenter 配下の ESX や仮想マシン等の分析ができるようになります。
今回は以上です。

既存の環境を VI ワークロードドメインとして SDDC Manager へ登録する方法

SDDC Manager から新規でVIワークロードドメインの作成を行うのではなく、既存のvSphere環境をVIワークロードドメインとしてSDDC Manegerにインポートする方法についての解説です。

ここで登場するのは、既存の環境をマネジメントドメインに変換する際にも使った VCF Import Tool になります。
おさらいになりますが、マネジメントドメインの作成は以下のようなイメージで行いました。

VIワークロードドメインの場合もやることはほぼ一緒で以下のようなイメージになります。
※事前にVCFの条件を満たすようにESXiのバージョンやDRS/HA等を行う必要があります。
まず、SDDC Maneger でVCF Import Tool で、既存環境のVCを対象に変換用のコマンドを実行します。

コマンドによって既存環境のVCがVIワークロードドメインとして利用できるようにImport処理が行われます。

処理が完了するとSDDC Managerから管理できるVIワークロードドメインとして登録されます。

利用するコマンドですが、以前も消化したコマンドの convert が import になっただけです。
NSXあり

python3 vcf_brownfield.py import --vcenter 'vcenter-fqdn' --sso-user 'sso-user' --domain-name 'wld-domain-name' --nsx-deployment-spec-path 'nsx-deployment-json-spec-path'

NSXなし

python3 vcf_brownfield.py import --vcenter 'vcenter-fqdn' --sso-user 'sso-user' --domain-name 'wld-domain-name' --skip-nsx-deployment

というわけでVIワークロードドメインの作成方法でした。 本来はこのあと、Aria Lifecycle Manager や Aria Operations や Aria Automation 等をマネジメントドメインに展開して環境を見守ったり、ワークロード用仮想マシンの自動展開などをやっていくのがVCFですが、一旦ここまでとしたいと思います。

SDDC Manager からの VI ワークロードドメインの作り方

マネジメントドメインが作成できたので、VI ワークロードドメインについて解説したいと思います。
まず、マネジメントドメインとI ワークロードドメインの関係についてです。

この辺は kubernetes を知っている人は分かりやすいかもしれませんが、マネジメントドメインがいわゆる管理系のクラスターでVI ワークロードドメインが実際にユーザーが利用する仮想マシンを動かすワークロード用のクラスターとなります。

ただ、マネジメントドメインのVCから何かをするというわけではなく、マネジメントドメインに展開された SDDC Manager からアレコレ作業します。
実際に管理する部分も Aria系のアプライアンスをマネジメントドメインに展開してそこからという感じになるのでマネジメント系仮想マシンが動作するマネジメントドメインと、ユーザーが利用するワークロード仮想マシンが動作するVIワークロードドメインという関係になります。

SDDC Manager からの VI ワークロードドメインの作り方ですが、イメージで説明すると以下のようになります。

まず、事前に利用するESXiの初期設定等を済ませておき、SDDC Managerで扱えるようにホストコミッショニングという作業を行います。

展開するvCenterやNSX、DRS、vSANで使うネットワーク設定の情報などをSDDC Managerにインプットします。

そしてVIワークロードドメインの作成をSDDC Managerから実行すると、与えられた情報に従ってVIワークロードドメインを作ってくれます。

その際ですが、管理系に該当するvCenterとNSX Managerはマネジメントドメインに作られます
そのため、VIワークロードドメイン分のvCenter、NSX Manager のリソースについては作成するVIワークロードドメインの数だけ、マネジメントドメインのリソースを消費することになり設計時にはそこも頭に入れておかないといけません。

その後は必要に応じてNSX Edgeの展開もしますがそこは再びSDDC Managerから手動での作業となります。

SDDC ManagerからVIワークロードドメインを作成する手順はこのようなイメージとなります。
次回は、既存環境をVIワークロードドメインにしてSDDC Managerの管理下へインポートする方法について説明します。

VCFの作り方「ブラウンフィールド」について

前回と前々回では、新規構築でVCFを作成する際の『グリーンフィールド』について説明しました。
今回は既存環境をVCFにする『ブラウンフィールド』について解説したいと思います。

ブラウンフィールド方式を簡単に説明すると、既存の環境に SDDC Manager をデプロイしてマネジメントドメインへ変換するVCF Import Tools のコマンドを実行するという流れになります。
言ってしまうと簡単なんですが、それを実行するには準備が必要です。

マネジメントドメインへ変換（Convert）するには以下が固有の条件となります。
・ESXi 8.0 U3 以上のバージョンを使っている
・vCenter 8.0 U3a 以上のバージョンを使っている
・自分が管理しているESXiたちのいずれかで動作している

VIドメインとして移行（Import）するには以下が固有の条件となります。
・ESXi 7.0 U3g 以上のバージョンを使っている
・vCenter 7.0 U3h 以上のバージョンを使っている

共通の条件は以下です。
・VCとESXiは構築済み
・クラスター内のホストは同一の構成
・利用可能なストレージはvSAN、NFS、FCの3種類
・クラスタ内ではvDSを使い、VSSは削除しておく
・DRSは完全自動化モード
・VCの拡張リンクモードはサポート対象外
・NSXが構成されている環境はサポート対象外
・VxRailはサポート対象外
・vSANストレッチクラスターはサポート対象外

詳細はこちらをご確認ください。
https://techdocs.broadcom.com/jp/ja/vmware-cis/vcf/vcf-5-2-and-earlier/5-2/map-for-administering-vcf-5-2/importing-existing-vsphere-environments-admin.html

必要になる、VCF Import Tool とデプロイする SDDC Manager の OVAファイル、変換及び移行時に NSX Manager の展開も行う場合に使う NSX Manager のインストールバンドルをダウンロードします。
ダウンロードはBroadcomのダウンロードサイトでVCFを開き「Drivers & Tools」に表示を切り替えます。

以下をダウンロードしておきます。

マネジメントドメインへの変換を行っていきます。
手順はこちらを参考にしています。
https://techdocs.broadcom.com/jp/ja/vmware-cis/vcf/vcf-5-2-and-earlier/5-2/copy-the-vcf-import-tool-to-the-target-vcenter-appliance.html

何をやるかというと以下になります。
・事前チェックを行うためダウンロードしたVCF Import Toolを転送します。

・root ユーザーでVCにログインし、転送したファイルを解凍します。

・展開時に作成されたコマンドのあるディレクトリに移動して、事前チェックのコマンドを実行します。

この事前チェックで失敗した場合は、出力されているファイルから何が問題だったか確認します。

[2024-08-26 07:24:58,337] [INFO] check_domain: For more details, please, check:
        Failed guardrails YML: /home/vcf/vcfimport/vcf-brownfield-import-5.2.0.0-24108578/vcf-brownfield-toolset/output/guardrails_report_vcf-mport.snt.lab.yml
        Failed guardrails CSV: /home/vcf/vcfimport/vcf-brownfield-import-5.2.0.0-24108578/vcf-brownfield-toolset/output/guardrails_report_vcf-mport.snt.lab.csv
        All guardrails CSV: /home/vcf/vcfimport/vcf-brownfield-import-5.2.0.0-24108578/vcf-brownfield-toolset/output/guardrails_report_vcf-mport.snt.lab.csv

中を見てみると以下のように何が問題だったか教えてくれます。
それを見て問題を解消しましょう。
今回は HA/DRS の設定が問題でした。

- Object Type: cluster
  Object Name: Cluster
  Day-N Operation: ESX Upgrade
  Severity Level: ERROR
  Status: VALIDATION_FAILED
  Check Name: Cluster HA/DRS
  Description: Check if cluster has HA & DRS enabled
  Details: Cluster should have HA enabled & DRS fully automated
  Remediation: Enable HA & configure DRS to be fully automated on the cluster

ちなみに、ERRORは対応が必要ですが、WARNINGについては対処しなくても進めることができます。
チェックが完了したら使ったツールは削除するようにドキュメントに記載があります。

・チェックが完了したら SDDC Manager を展開します。

ちなみにこの時点で SDDC Manager にブラウザからアクセスすると以下のようになります。

・SDDC Manager の展開が終わったら VCF Import Toolを SDDC Manager に転送します。

・NSX Manager の展開も行う場合は、展開時に指定するNSXの情報を記載したJSONファイルを作成します。
　NSXの展開を行う場合はインストールバンドルを SDDC Manager にアップロードしておきます。

・コマンドを実行します

NSXあり

python3 vcf_brownfield.py convert --vcenter '' --sso-user '' --domain-name '' --nsx-deployment-spec-path ''

NSXなし

python3 vcf_brownfield.py convert --vcenter '' --sso-user '' --domain-name '' --skip-nsx-deployment

・処理が終了したらサービスを再起動します。

echo 'y' | /opt/vmware/vcf/operationsmanager/scripts/cli/sddcmanager_restart_services.sh

この後は、グリーンフィールドの時と同じように SDDC Manager へログインが可能になります。
ブラウンフィールドでのVCF（マネジメントドメイン）の作成方法でした。

VCFの作り方『グリーンフィールド』方式その2（Cloud BuilderでVCFの作成）

前回はVCF構築方法のグリーンフィールドについて説明しました。
今回は前回の続きでグリーンフィールドで行うCloud BuilderでのVCF構築について解説します。
Deployment Parameter Workbookへ必要な入力が終わった後はいよいよ Cloud Builder にブラウザでアクセスします。

VCFの方を選んで進みます。

色々と事前に設定しておく状態などの情報が出てきます。チェックを入れて次に進みます。

Deployment Parameter Workbookパラメーターをダウンロードしているか聞かれるので「Next」をクリックします。

「SELECT FILE」をクリックしてDeployment Parameter Workbookをアップロードします。

Deployment Parameter Workbookとの互換性がチェックされると次に進めるようになります。

Deployment Parameter Workbookの記載内容の確認が行われ、ESXiのDNSやNTP、自己証明書といった設定がされているかどうかの確認も行われます。 エラーがあったらその部分について問題を解消して次に進みます。

SDDCの展開を行うか聞かれるので「DEPLOY SDDC」をクリックします。

処理が行われすべて完了後「FINISH」をクリックします。

「LAUNCH SDDC MANAGER」をクリックします。

SDDC Manager のログインページに飛ぶので、Deployment Parameter Workbookで設定したパスワードを使いログインします。

ログイン後の画面はこちらです。

以上で Cloud Builder でのVCF構築（マネジメントドメインの構築）は完了です。
次回は既存環境をVCFにするブラウンフィールドの方法について説明したいと思います。

VCFの作り方『グリーンフィールド』について

前回まではVMware Cloud Foundation（VCF）とはどういう製品か、何ができるのかという点についてお話をさせていただきました。
今回からは、VCFをどうやって作っていくのかについてお話をさせていただこうと思います。

VCFの作り方には実は２種類あり、新規構築を行う『グリーンフィールド』と、既存の環境をVCFにする『ブラウンフィールド』という２つの種類です。
それぞれの違いはだいたい以下のようになっています。

それぞれの手順についてですが、長くなるので今回はグリーンフィールド方式を説明します。
グリーンフィールドのやり方ですが、大変心苦しいことに、ここでまた新しい『ブリングアップ』という単語が出てきます。
まずはブリングアップという単語があると知っておいてください。

グリーンフィールドの場合の手順です。
新規構築なので、一応機材の調達とかがあるんですがそこは終わっている想定でお話をさせてください。

1. ESXiをインストールし初期セットアップ
・管理ネットワークの設定
・NTPの設定
・自己証明書の更新
・vSANが組めるように必要に応じてローカルディスクをSSDとして認識させる

2. ブリングアップの実施
・OVAファイルから、Cloud Builder をデプロイ
・Cloud Builder へ読み込ませるパラメーターシートの記入
・Cloud Builder へパラメーターシートを読み込ませて、1.でセットアップしたESXiに SDDC Maneger、vCenter、NSX を自動構築

読者の皆様方に置かれましては、またしても『Cloud Builder』という新しい単語に気が付かれたかと思います。
こちらは、セットアップ済みのESXiを使用してVCFのマネジメントドメイン（SDDC Maneger、vCenter、NSX）を自動作成するアプライアンスマシンとなります。
このタイミングでしか使うことはなく、一度マネジメントドメインを作成した後は使わないツールとなります。

では、各手順をもう少し詳しく説明します。

ESXi の初期セットアップについては特に問題ないと思いますが、IPアドレス、DNS、ホスト名の設定にNTPの設定です。
自己証明書の更新というのは以下のコマンドで実行します。
ssh か DUCI でコマンドを実行してください。

/sbin/generate-certificates

このコマンド実行後は、各サービスを再起動します。

/etc/init.d/hostd restart && /etc/init.d/vpxa restart && /etc/init.d/rhttpproxy restart

もしくはホストの再起動やDUCIから管理サービスの再起動でも大丈夫です。

続いてブリングアップの仕方について説明しましょう。
まずは、Cloud BuilderのOVF と Cloud Builder に読み込ませて使うパラメーターシートの Deployment Parameter Workbook を Broadcom のダウンロードサイトから入手します。

実施の前には、Cloud BuilderをどこかのESXiやWorkStationなどに展開する必要があります。
手順はこちらをご参照ください。
https://techdocs.broadcom.com/jp/ja/vmware-cis/vcf/vcf-5-2-and-earlier/5-2/vmware-cloud-foundation-architecture-and-deployment-guide-5-2/deploying-cloud-foundation--/deploy-cloud-foundation-builder-vm--.html

Cloud Builder 展開後は、自動構築させるためのパラメーター を Deployment Parameter Workbook に入力します。

中身はこんな感じで、必須な部分はセルが赤くなっています。

必要な入力が終わった後はいよいよ Cloud Builder にブラウザでアクセスします。
マネジメントドメインの作成について１例を挙げると以下のようなイメージになります。

長くなってしまったので、実際にCloud Builder で構築する際の内容は次回で説明します。

SDDC Maneger からの管理とはどんな感じなのかについて

前回はVCFの司令塔であるSDDC Managerで出来ることについて解説しました。
今回は具体的にVCFになって SDDC Maneger を使うようになったらどんな感じなのかをざっくり説明しようと思います。

SDDC Manager へログインした後はこんな感じです。

Managment Domain や VI Domain へのアクセスはどうなるかというと、ワークロードドメインを表示すると出てきます。
といっても、結局 vSphere Client のリンクが出てくるので SDDC Manager の画面から直接管理ができるわけではありません。
リンク一覧みたいなものですね。

で実際にSDDC Managerの画面でできる事というのは「ライフサイクル管理」と「管理」の中にある項目です。
ライフサイクル管理は、そこまで何ができるというものでもないので簡潔に説明します。

ライフサイクル管理
・SDDC Manager では新しいバージョンが出たらダウンロードができるようになっています。
・リリースバージョンでは利用可能なVCFのバージョンや製品のBOMが見れます。
・バンドル管理ではダウンロード可能な製品の一覧が確認でき、ダウンロードすることができます。
・イメージ管理はVI Domainを作成するときのESXiのイメージなどを管理します。

次に管理ですが、こちらは SDDC Maneger ならではといった感じが出てきます。

管理
「ネットワーク設定」では以下のように、「ネットワークプールの作成」と「DNS構成」と「NTP」構成ができます。

ネットワークプールとは何かといいますと、用途ごとに作成するVMKernelで使うIPアドレスのプールという事になります。
以下のように設定項目があります。

これを設定しておくことで追加でESXiをクラスタに入れたいときなどに設定を自動的に拾ってきてVMKernelを作成してくれるようになります。

「ストレージ」はVASAプロバイダを登録するときに使います。

「ライセンス」はライセンス登録を行います。
vCenter と同じような感じなので割愛します。

「プロキシ設定」はプロキシを使う場合に使用します。

「バックアップ」は SDDC Maneger のバックアップ先を指定して自動バックアップをスケージュールできます。

「デポ設定」はバンドル管理等でBroadcomからファイルをダウンロードするためのユーザーとパスワードを登録する設定となります。

「VMware Aria Suite」 は Aria 製品を展開するとその製品へのリンクが追加されます。
今回は Aria Suite の展開まではやらない予定です。

セキュリティのパスワード管理と認証局は SDDC Manager ならではの機能というわけでもなく vCenter に統合されつつあるのでここでは割愛します。

というわけでざっくりと SDDC Maneger にアクセスできるようになったらどうなるのかというお話でした。
次回は、VCF をどうやって作っていくのかというお話になります。