プライベート クラウド VMware コンポーネント
プライベート クラウドは、管理ドメイン内の vCenter サーバーによって管理される分離された VMware スタック(ESXi ホスト、vCenter、vSAN、NSX)環境です。Google Cloud VMware Engine では、次の VMware スタック コンポーネントを使用してプライベート クラウドをデプロイします。
- VMware ESXi: 専用ノード上のハイパーバイザ
- VMware vCenter: プライベート クラウドの vSphere 環境を一元管理するアプライアンス
- VMware vSAN: ソフトウェア定義のハイパーコンバージド ストレージ プラットフォーム
- VMware NSX データセンター: ネットワーク仮想化とセキュリティ ソフトウェア
- VMware HCX: データセンターとクラウド間でのアプリケーションの移行とワークロードのバランス調整を行うサービス
プライベート クラウドの詳細ページから、VMware スタック コンポーネント用に生成されたログイン認証情報を取得できます。
VMware コンポーネントのバージョン
プライベート クラウドの VMware スタックには、次のソフトウェア バージョンがあります。
コンポーネント | バージョン | ライセンスが付与されたバージョン |
---|---|---|
ESXi | 7.0 Update 2c | vSphere Enterprise Plus |
vCenter | 7.0 Update 2d | vCenter Standard |
vSAN | 7.0 Update 2c | 高度な一部の vSAN Enterprise の機能 |
NSX Data Center | 3.1.2 | 利用可能な機能を選択します。詳細については、NSX Data Center をご覧ください。 |
HCX | 4.5 | Enterprise |
ESXi
プライベート クラウドを作成すると、プロビジョニングされた Google Cloud VMware Engine ノードに、VMware ESXi がインストールされます。ESXi は、ワークロード仮想マシン(VM)をデプロイするためのハイパーバイザを備えています。ノードは、ハイパーコンバージド インフラストラクチャ(コンピューティングとストレージ)を提供し、プライベート クラウド上の vSphere クラスタの一部です。
各ノードには、基盤となるネットワークに接続された 4 つの物理ネットワーク インターフェースがあります。VMware Engine は、これらの物理ネットワーク インターフェースをアップリンクとして使用して、vCenter に vSphere 分散スイッチ(VDS)を作成します。ネットワーク インターフェースは、高可用性のためにアクティブ モードで構成されます。
vCenter Server Appliance
vCenter Server Appliance(VCSA)は、VMware Engine の認証、管理、オーケストレーションの機能を提供します。プライベート クラウドを作成してデプロイすると、VMware Engine により vSphere クラスタに組み込み Platform Services Controller(PSC)を持つ VCSA がデプロイされます。各プライベート クラウドには独自の VCSA があります。プライベート クラウドにノードを追加すると、VCSA にノードが追加されます。
vCenter のシングル サインオン
VCSA の組み込み Platform Services Controller は、vCenter のシングル サインオンに関連付けられています。ドメイン名は gve.local
です。vCenter にアクセスするには、vCenter へのアクセス用に作成されたデフォルト ユーザー(CloudOwner@gve.local
)を使用します。オンプレミス / Active Directory の vCenter 用 ID ソースを追加できます。
vSAN ストレージ
プライベート クラウド内のクラスタには、完全に構成されたオールフラッシュ vSAN ストレージがあります。オールフラッシュ ストレージはローカル SSD によって提供されます。vSAN データストアを使用して vSphere クラスタを作成するには、同じ SKU のノードが少なくとも 3 つ必要です。vSphere クラスタの各ノードには、ディスク グループが 2 つあります。各ディスク グループは、1 つのキャッシュ ディスクと 3 つの容量ディスクで構成されます。
VMware Engine 内の vSAN データストアでは、[重複除去と圧縮]VMware の重複除去と圧縮を有効にできます。このサービスにより、新しいクラスタの作成時にデフォルトで vSAN 圧縮が有効になります。プライベート クラウド上の各クラスタに vSAN データストアがあります。保存された仮想マシンのデータが重複除去と圧縮(または圧縮のみ)による vSAN スペース効率に適していない場合は、vSAN スペース効率を個々の vSAN データストアで望ましい構成に変更できます。
VMware Engine では、vSAN の高度な機能に加えて、保存データと転送中のデータ用に vSAN Enterprise データ暗号化も利用できます。
vSAN ストレージ ポリシー
vSAN ストレージ ポリシーでは、許容障害数(FTT)と障害の許容方法が定義されています。新しいストレージ ポリシーを作成して VM に適用できます。SLA を維持するには、vSAN データストアに 20% の予備容量を確保する必要があります。
各 vSphere クラスタには、vSAN データストアに適用されるデフォルトの vSAN ストレージ ポリシーがあります。ストレージ ポリシーは、サービスレベルを保証するために、データストア内に VM ストレージ オブジェクトをプロビジョニングして割り当てる方法を決定します。
次の表に、デフォルトの vSAN ストレージ ポリシーのパラメータを示します。
FTT | フォールト トレランスの方式 | vSphere クラスタ内のノード数 |
---|---|---|
1 | RAID 1(ミラーリング) 2 つのコピーを作成 |
3~4 ノード |
2 | RAID 1(ミラーリング) 3 つのコピーを作成 |
5~32 ノード |
サポートされている vSAN ストレージ ポリシー
次の表に、サポートされている vSAN ストレージ ポリシーと、ポリシーを有効にするために必要な最小限のノード数を示します。
FTT | フォールト トレランスの方式 | vSphere クラスタに必要な最小ノード数 |
---|---|---|
1 | RAID 1(ミラーリング) | 3 |
1 | RAID 5(消去訂正符号) | 4 |
2 | RAID 1(ミラーリング) | 5 |
2 | RAID 6(消去訂正符号) | 6 |
3 | RAID 1(ミラーリング) | 7 |
NSX Data Center
NSX Data Center は、プライベート クラウドでのネットワーク仮想化、マイクロ セグメンテーション、ネットワーク セキュリティ機能を提供します。プライベート クラウド上の NSX Data Center でサポートされているサービスは、NSX を使用して構成できます。
利用できる機能
次のリストは、VMware Engine でサポートされている NSX-T 機能をカテゴリ別に整理したものです。
- スイッチング、DNS、DHCP、IPAM(DDI)
- 最適化された ARP 学習とブロードキャスト抑制
- ユニキャスト レプリケーション
- ヘッドエンド レプリケーション
- SpoofGuard
- IP アドレス管理
- IP ブロック
- IP サブネット
- IP プール
- IPv4 DHCP サーバー
- IPv4 DHCP リレー
- IPv4 DHCP 静的バインディング / 固定アドレス
- IPv4 DNS リレー / DNS プロキシ
- ルーティング:
- null ルート
- 静的ルーティング
- デバイス ルーティング
- ルートマップとプレフィックス リストを使用した BGP ルート制御
- NAT:
- North / South および East / West 論理ルーターの NAT
- 送信元 NAT
- 宛先 NAT
- N:N NAT
- ファイアウォール:
- Edge ファイアウォール
- 分散ファイアウォール
- ファイアウォール共通のユーザー インターフェース
- ファイアウォール セクション
- ファイアウォールのロギング
- ステートフル レイヤ 2 およびレイヤ 3 のファイアウォール ルール
- タグベースのルール
- 分散ファイアウォール ベースの IPFIX
- ファイアウォール ポリシー、タグ、グループ:
- オブジェクトのタグ付け / セキュリティ タグ
- ネットワーク中心のグループ化
- ワークロード中心のグループ化
- IP ベースのグループ化
- MAC ベースのグループ化
- VPN:
- レイヤ 2 VPN
- レイヤ 3 VPN(IPv4)
- インテグレーション:
- Tanzu Kubernetes Grid(TKG)のみを使用したコンテナ ネットワーキングとセキュリティ
- VMware Cloud Director サービス
- VMware Aria Automation
- VMware Aria Operations for Logs
- Tanzu Kubernetes Grid(TKG)のみを使用したコンテナ ネットワーキングとセキュリティ
- 認証と認可:
- LDAP を使用した Active Directory の直接統合
- OpenLDAP を使用した認証
- ロールベースのアクセス制御(RBAC)
- 自動化:
- REST API
- Java SDK
- Python SDK
- Terraform プロバイダ
- Ansible モジュール
- OpenAPI / Swagger の仕様と REST API 向けの自動生成された API ドキュメント
- 検査:
- ポート ミラーリング
- トレースフロー
- スイッチベースの IPFIX
機能の制限事項
NSX Data Center の一部の機能は、ネットワークとセキュリティのユースケースに特化しています。2022 年 8 月 30 日以前に Google Cloud アカウントを作成したお客様は、Cloud カスタマーケアに連絡して、これらのユースケース用の機能へのアクセス権をリクエストできます。
次の表に、これらの機能とそれに対応するユースケース、可能な代替案を示します。
機能 | ユースケース | 推奨の代替サービス | 2022 年 8 月 30 日より前の Google Cloud のお客様 | 2022 年 8 月 30 日以降の Google Cloud のお客様 |
---|---|---|---|---|
レイヤ 3 マルチキャスト | マルチホップのレイヤ 3 マルチキャスト ルーティング | レイヤ 2 マルチキャストは NSX-T サブネット内でサポートされます。これにより、すべてのマルチキャスト トラフィックを同じ NSX-T サブネット上のワークロードに配信できます。 | サポート対象 | サポート対象外 |
Quality of Service(QoS) | ネットワークのオーバーサブスクリプションが発生し、VoIP とレイテンシの影響を受けやすいアプリケーション | 必要ありません。VMware Engine が、非オーバーサブスクライブ型のネットワーク アーキテクチャを提供します。さらに、プライベート クラウドから出た QoS タグは、ピアリング接続を介して VPC に入ると削除されます。 | サポート対象 | サポート対象外 |
Simple Network Management Protocol(SNMP)トラップ | ユーザーにイベントを通知する以前のアラート プロトコル | イベントとアラームは、最新のプロトコルを使用して NSX-T 内で構成できます。 | サポート対象 | サポート対象外 |
ステートレス NAT、NAT ロギング、NAT64 などの NAT 機能 | 大規模な通信デプロイにおけるキャリア グレードの NAT に使用される | NSX-T は、North / South と East / West の論理ルーターで送信元 NAT、宛先 NAT、N:N NAT をサポートします。 | サポート対象 | サポート対象外 |
インテント ベースのネットワーキング ポリシーとセキュリティ ポリシー | VMware Aria と組み合わせて、NSX-T でビジネスベースのファイアウォール ポリシーを作成 | NSX-T ゲートウェイと分散ファイアウォール機能を使用して、セキュリティ ポリシーを作成し、適用できます。 | サポート対象 | サポート対象外 |
Active Directory を使用する ID ベースのグループ | 特定の VDI ゲストにログインしているユーザーを検出し、NSX-T ファイアウォール ルールのカスタムセットを受信する VDI デプロイ | ユーザーは、専用の割り当てプールを使用して、特定のワークステーションを割り当てることができます。NSX-T タグを使用して、特定のファイアウォール ルールをプールごとに適用します。 | サポート対象 | サポート対象外 |
レイヤ 7 属性(アプリ ID)ルール | NSX-T ファイアウォール ルールで使用 | NSX-T Service Group を使用して、1 つ以上のファイアウォール ルールを作成するときに簡単に参照できるポートとサービスのセットを定義します。 | サポート対象 | サポート対象外 |
ステートレスなレイヤ 2 およびレイヤ 3 のファイアウォール ルール | 大規模な通信デプロイでのキャリア グレードの高速ファイアウォールに使用 | NSX-T は、ステートフルで高性能なレイヤ 2 ルールとレイヤ 3 ルールをサポートします。 | サポート対象 | サポート対象外 |
NSX-T サービス挿入 | NSX-T を使用してトラフィックを保護し、検査することで、サードパーティのネットワーク サービスの North / South または East / West のデプロイを自動化するために使用されます。 | サードパーティのセキュリティ ベンダーによるデプロイでは、定期的なサービス アップグレードがネットワークの可用性に影響を与えないように、サービス挿入ではなく、ルーティングされたモデルをおすすめします。 | Cloud カスタマーケアへのお問い合わせ | サポート対象外 |
HCX
VMware Engine は、プライベート クラウドでの HCX の初回インストール、構成、モニタリングを処理します。ユーザーは、HCX Cloud と HCX-IX Interconnect などのサービス アプライアンスのライフサイクルを管理します。
VMware は HCX サービスを介して HCX Cloud の更新を提供します。HCX Manager とデプロイされた HCX サービス アプライアンスは HCX Cloud インターフェースからアップグレードできます。製品リリースのサポート終了日については、VMware 製品ライフサイクル マトリックスをご覧ください。
vSphere クラスタ
プライベート クラウドの高可用性を確保するため、ESXi ホストはクラスタとして構成されます。プライベート クラウドを作成すると、VMware Engine は最初のクラスタに vSphere の管理コンポーネントをデプロイします。VMware Engine では、管理コンポーネント用のリソースプールを作成し、このリソースプールにすべての管理 VM をデプロイします。
最初のクラスタを削除してプライベート クラウドを縮小することはできません。vSphere クラスタでは、vSphere HA を使用して VM に高可用性を提供します。許容障害数(FTT)は、クラスタ内で使用可能なノードの数に基づきます。式 Number of nodes = 2N+1
(N
は FTT)は、クラスタ内で使用可能なノードと FTT の関係を表します。
本番環境ワークロードでは、3 つ以上のノードを含むプライベート クラウドを使用します。
単一ノードのプライベート クラウド
VMware Engine を使用したテストと概念実証のために、単一のノードとクラスタのみを含むプライベート クラウドを作成できます。VMware Engine は、60 日後に 1 つのノードのみを含むプライベート クラウドと、関連するワークロード VM およびデータを削除します。
単一ノードのプライベート クラウドのサイズを変更して、3 つ以上のノードを含めることができます。その場合、VMware Engine は vSAN データ レプリケーションを開始し、プライベート クラウドの削除は試行しません。SLA に基づいてカバレッジを取得するには、プライベート クラウドに 3 つ以上のノードが含まれ、vSAN データ レプリケーションを完了する必要があります。
複数のノードを必要とする機能やオペレーションは、単一ノードのプライベート クラウドでは動作しません。たとえば、vSphere Distributed Resource Scheduler(DRS)または高可用性(HA)は使用できません。
vSphere クラスタの上限
次の表は、SLA の要件を満たす、プライベート クラウドでの vSphere クラスタの上限を示しています。
リソース | 上限 |
---|---|
プライベート クラウドを作成するノードの最小数(最初のクラスタ) | 3 |
クラスタを作成するノードの最小数 | 3 |
クラスタあたりのノードの最大数 | 32 |
プライベート クラウドあたりのノードの最大数 | 110 |
プライベート クラウドあたりのクラスタの最大数 | 21 |
ゲスト オペレーティング システムのサポート
プライベート クラウドでは、VMware の ESXi バージョンがサポートする任意のゲスト オペレーティング システムで VM をインストールできます。サポートされているゲスト オペレーティング システムのリストについては、ゲスト OS 用の VMware 互換性ガイドをご覧ください。
VMware インフラストラクチャのメンテナンス
ときどき、VMware インフラストラクチャの構成変更が必要になります。現在、その頻度は 1~2 か月に 1 回の割合ですが、時間の経過とともに減少することが予想されます。たいてい、このタイプのメンテナンスは、サービスの通常の利用を中断することなく実行できます。
VMware のメンテナンスの間、次のサービスは影響を受けずに引き続き機能します。
- VMware 管理プレーンとアプリケーション
- vCenter へのアクセス
- すべてのネットワークとストレージ
- すべてのクラウド トラフィック
更新とアップグレード
Google は、プライベート クラウドにおいて VMware ソフトウェア(ESXi、vCenter、PSC、NSX)のライフサイクル管理を担っています。
ソフトウェア アップデートには次のようなものがあります。
- パッチ: VMware によってリリースされるセキュリティ パッチまたはバグの修正。
- アップデート: VMware スタック コンポーネントのマイナー バージョンの変更。
- アップグレード: VMware スタック コンポーネントのメジャー バージョンの変更。
Google では、重要なセキュリティ パッチが VMware から入手可能になり次第、テストを行います。SLA に基づき、Google は 1 週間以内にプライベート クラウド環境にセキュリティ パッチをロールアウトします。
Google では、四半期に 1 回、VMware ソフトウェア コンポーネントのメンテナンス更新を行います。VMware ソフトウェア バージョンのメジャー バージョンが変更される場合、Google は、お客様と連携してアップグレードのための適切なメンテナンスの時間枠の調整を行います。
外部ストレージ
Google Cloud VMware Engine クラスタのストレージ容量を増やすには、ノードを追加するという方法があります。また、ストレージのスケーリングのみを行いたい場合は、外部ストレージを使用するという方法もあります。ストレージのスケーリングでは、クラスタのコンピューティング容量を増やすことなくストレージ容量を増やすことができ、リソースを個別にスケーリングできます。
外部ストレージの使用について詳しくは、Google サポートまたは営業担当者にお問い合わせください。
次のステップ
- プライベート クラウドのメンテナンスと更新について学習する。