VCloudツール：IT卒業生の経験

クラウドサービスの本質は、プロセッサ、メモリ、ディスク容量、ネットワークアダプターの種類など、サーバーの容量をユーザーが選択できることです。 クラウドコンピューティング自体は、次の3つのレベルに分類できます。

• サービスとしてのインフラストラクチャ（IaaS）;
• Platform as a Service（PaaS）;
• サービスとしてのソフトウェア（SaaS）。

vCloud ファミリは、Infrastructure as a Service（IaaS）を提供する責任があります。 vCloudの2つの主要コンポーネントは、VMware vSphereとvCloud Directorです。 VMware vSphereは、クラウドインフラストラクチャサービスが展開される仮想化プラットフォームそのものであり、vCloud Directorは、管理者がこれらのサービスを管理するクラウドインフラストラクチャ管理センターです。



VMware vCloud Directorを使用すると、仮想マシンの作成と管理、別のクラウドからの移行、仮想リソースのプールへのアクセス権の柔軟な管理、VPN接続の作成、仮想マシン間の負荷分散の構成などを行うことができます。



ただし、多くの場合、顧客企業はITインフラストラクチャをクラウドに移行し、その存在と機能が常にわかっているとは限らない既存の機能に対する多くのツールを受け取ります。 例としては、VMware vCloud Directorの一部であるVMware vShield Edgeがあります。



そもそも、VMware vShield EdgeはVMware vCloud上に構築されたクラウドインフラストラクチャの不可欠な部分であることは注目に値します。 セキュリティ製品として、vShield Edgeはネットワークゲートウェイとして機能します。 構成されたポリシーに応じて、vShield Edgeは特定の接続の有効化または無効化、VPNセッションの制御、ネットワークアドレス変換の実行、送信元ポートまたは宛先ポートによるデータの検査、および負荷分散を実行できます。



つまり、VMware vShield Edgeを使用すると、ステートフルファイアウォール、VPN、DHCP、NAT、Web負荷分散などのサービスを構成できます。たとえば、実際の状況の1つは次のとおりです。複数のリモートサイトを単一のルーティングネットワークに結合する必要があります。 これを行うには、VPNトンネルを構成する必要があり、VMware vShield Edgeがこれに役立ちます。



シナリオは次のとおりです。クライアント企業は、サイト間VPNを介してIT-GRADクラウド内の仮想マシンにアクセスする必要があります。 各サイトには、直接インターネットアクセスが可能なVMware EDGEサーバーがあります。







サイトA-クライアント会社：サブネット10.64.20.0/24を使用します。

サイトB-IT-GRAD企業サイト：サブネット172.16.16.0/24。



トンネルを作成するには、IaaSプロバイダーがクラウドに接続されているときに使用できるvCloud Director Webコンソールを使用します。 設定で、VPNをアクティブにし、トンネルの名前とその説明を設定します。 次に、ネットワーク（この場合はリモートネットワーク）に接続するオプションを示し、トンネルを編成するサブネットを指定し、EDGEインターフェイスのIPアドレスを書き込みます。



サイト間VPNをセットアップする際の重要なポイントは、暗号化プロトコルの選択です。 プライベート仮想ネットワークで安全な通信を確保するために、IPSecプロトコルのセットが使用されることを思い出してください。



IPSecは認証を有効にし、IPパケットの整合性チェックと暗号化を提供します。 そこに含まれるIKEプロトコルは、すべてのIPSecコンポーネントを単一のシステムに統合し、パーティの初期認証と共有キーの交換を実装する接続リンクです。



VPNトンネルのインストールとサポートは、2段階（IKEの2段階）で行われます。 まず、IKEはIKE Security Association（IKE SA）と呼ばれる2つのノード間に安全なチャネルを作成し、最初のフェーズが開始されます。



ここでIKEはメインモードで動作します-これらは送信者と受信者の間の3つの双方向交換です。 最初の交換中に、暗号化アルゴリズムとハッシュ関数は、各ノードのIKE SAを照合することにより照合されます。 2回目の交換では、当事者が互いに共有秘密鍵を渡すときに、Deffy-Hellmanアルゴリズムが使用されます。



また、この段階で、ノードは、疑似乱数のシーケンスを送信および確認することにより、相互にチェックします。 3回目の交換では、暗号化されたIPアドレスを使用して、反対側のIDが検証されます。



次に、第2フェーズが開始され、その間にキーデータが生成され、ノードは使用されるポリシーに同意します。 このモードは、第2フェーズのすべてのパケットが暗号化される第1ステージの後にのみ設定されます。 2番目のフェーズが正常に完了した場合、トンネルがインストールされていると想定できます。



これは、VMware vShield Edgeの追加機能の1つにすぎません。 さらに、vShield Edgeを使用すると、ソフトウェアファイアウォールを「上げる」ことができます。他の場合と同様に、トラフィックをチェックし、関連するルールの設定に応じて、その送信をブロックまたは許可します。 vCloud Directorコンソールで対応するルールをマウスでドラッグアンドドロップするだけで、ルールが適用される順序を変更できます。



VShield Edgeは、動的ホスト構成プロトコル機能も統合します。 仮想組織のネットワークに接続された仮想マシンにIPアドレスを割り当てるメカニズムを自動化できます。 vCloud Directorコンソールから直接IP範囲を構成および管理できます。



もう1つの注目に値するのはDHCPサービスです。これにより、IPアドレスの割り当てプロセスが大幅に簡素化され、管理オーバーヘッドとエラーが最小限に抑えられます。 DHCPコンソールでは、いわゆるアドレスプールを作成できます。これは、仮想マシンに発行するためのIPアドレスが格納されたコンテナです。



IPアドレスは一定期間発行されます。vShieldEdgeの設定には2つのパラメーターがあります。デフォルトのリース時間は3600秒で、最大時間はデフォルトで7200秒です。 IPアドレスが仮想マシンにリースされていた場合、それはビジーと見なされ、リースの期限が切れるまで別のノードに割り当てることはできません。



これらの機能はすべて、単一のvCloud Directorコンソールから制御されます。 サイト間IPsec VPN、ファイアウォール、NAT、DHCP、静的ルーティング、およびネットワーク負荷分散を設定するための詳細なガイドは、ブログにあります。



もう1つの便利なVMware製品は、VMware vSphere Power CLIです。これは、ESXサーバーおよび仮想マシンを操作する際の日常的な管理タスクを自動化するツールです。 Power CLIの使用例は多数あります。仮想マシンを削除したユーザーの検索から、VMware vSphere仮想インフラストラクチャの本格的な診断プログラムまで。 たとえば、プロセッサのパフォーマンスの問題を追跡するために使用できます。



重要なパフォーマンスパラメータの1つは、プロセッサリソースの消費量です。 たとえば、vSphere環境では、非常に多くの仮想マシンが使用され、負荷の高いアプリケーションが実行されています。これらすべてが不十分なプロセッサリソースにつながる可能性があります。 このような不足の理由は、たとえば、仮想マシンの非効率的な使用または最適でない構成に関連する別のポイントである場合があります。



そのため、CPUリソースの不足はパフォーマンスに重大な問題をもたらし、ビジネスに重要なサービスの作業に影響を与えます。 たとえば、Co-stoptimeが長い場合は、必要以上のvCPUがあることを示し、これにより多くの場合、追加のリソース消費が発生し、仮想マシンのパフォーマンスが低下します。



Guest CPU Saturationパラメーターは、仮想マシンのCPU負荷を示します。仮想マシンアプリケーションが90％以上のCPUリソースを使用する場合、パフォーマンスの問題があります。 VMware vSphere Power CLIのこれらおよびその他の多くのパラメーターを使用すると、追跡できます。



CPUパフォーマンスの問題を調査するときは、次のカウンターに注意してください。

• 需要-操作に必要な仮想マシンのCPUの数。
• 準備完了は、仮想マシンの起動準備ができている時間の指標ですが、物理リソースの不足が原因ではありません。
• 使用法-現在使用が許可されている仮想マシンプロセッサの数。

上の画像は、仮想マシンの動作に必要なCPUリソースの量と実際に使用されている量を示しています。 この特定のケースでは、使用（使用）よりもはるかに多く（要求）が必要です。



また、9977ミリ秒に相当する準備完了時間インジケータにも注意してください。これは、パフォーマンスの問題を探すときに注意する必要があるもう1つのインジケータです。 この値が10％を超える場合、パフォーマンスの問題が発生する可能性が高くなります。 値をミリ秒からパーセントに変換するには、次の式を使用できます。







多数の仮想CPUを備えた仮想マシンをチューニングすると、リソース使用量が増加し、負荷の高いシステムのパフォーマンスに影響を及ぼす可能性があることに注意してください。 また、ゲストオペレーティングシステムがすべての専用仮想プロセッサを使用していなくても、そのようなマシンは物理レベルでホストリソースを消費します。 プロセッサのパフォーマンスを監視する詳細なガイドは、当社のブログ（ 1、2 ）にあります。



この記事の一部として、vCloud Directorに関連する（間接的ではありますが）別のツールに触れたいと思います。 Veeam Backupについてです。 これにより、管理者は仮想サービスのメタデータと属性をバックアップし、仮想サービスと仮想マシンをvCDに直接復元できます。



バックアップのトピックは、常に重要であり、今後も重要です。 毎年、さまざまな企業の物理プラットフォームとクラウドプラットフォームの両方に保存されるデータ量は絶えず増加しており、これによりバックアップ市場の外観が劇的に変化しています。



Veeam Cloud Connectは、バックアップをリモートクラウドサイトに転送するための高速で信頼性の高い方法と、データ復旧を提供します。 この決定には、いわゆる「3-2-1」ルールが適用されます。これにより、信頼できるデータストレージを確保するには、次の条件を満たしている必要があります。

• 3つのバックアップがあります。
• 2種類のストレージメディアを使用します。
• 1つのインスタンスをリモートに保存します。

Veeam Cloud Connectテクノロジーにより、クラウドサービスプロバイダーのリモートサイトで信頼性の高いバックアップストレージ、バックアップコンソールから直接リモートサイトに保存されたデータを復元する機能が保証された包括的な制御、組み込みWANアクセラレーションと長期ポリシーを使用したバックアップアーカイブタスクの使用が可能になりますストレージ。



Veeam Cloud Connectの利点を活用するには、まず、Veeamクラウドサービスプロバイダーを決定する必要があります。そのサイトは、仮想マシンの信頼できるバックアップストレージとして使用されます。そのようなプロバイダーは、 Veeam Cloud Provider （VCP）の能力を備えています 。 同時に、クラウドへのバックアップを選択した顧客は、クラウドプロバイダーからのサービスのサブスクリプションが必要になります。



2番目のステップは、クライアント側でのVeeam Backup＆Replication製品の展開、インフラストラクチャの計画と構成、Veeamクラウドプロバイダーのリモートサイトの選択と接続などです。 ブログでも、プロセス全体を詳しく見ることができます。