Azure VMware Solution の機能
Azure VMware Solution はどのようなもので、何ができるのかがわかったので、Azure でそれがどのように動作するのかを見てみましょう。
サポートの分担
オンプレミスの VMware 環境では、プラットフォームの実行に使用されるハードウェアとソフトウェアのサポートをすべて顧客が担う必要があります。 Azure VMware Solution では行われません。 顧客のプラットフォームは Microsoft が管理します。 顧客が管理する範囲と Microsoft が管理する範囲を見てみましょう。
表の説明:Microsoft による管理 = 青、お客様による管理 = 灰色
VMware ソフトウェア (ESXi、vCenter、vSAN) のライフサイクル管理は、Microsoft が VMware と連携して行います。 また、NSX-T アプライアンスのライフサイクル管理とネットワーク構成のブートストラップに関しても、Microsoft は VMware と連携します。 Tier 0 ゲートウェイの作成や、North-South ルーティングの有効化などです。
次に示した NSX-T の SDN 構成は顧客が担います。
- ネットワーク セグメント
- 分散ファイアウォール規則
- Tier 1 ゲートウェイ
- ロード バランサー
監視と修復
Azure VMware Solution は、基になるコンポーネントと VMware コンポーネントの両方の正常性を継続的に監視します。 Azure VMware Solution でエラーが検出されると、失敗したコンポーネントを修復するアクションが実行されます。 Azure VMware Solution によって Azure VMware Solution ノードで機能低下または障害が検出されると、ホスト修復プロセスがトリガーされます。
ホストの修復では、不具合のあるクラスターのノードを新しい正常なノードに置き換えます。 その後、可能な場合は、障害が発生しているホストが VMware vSphere メンテナンス モードに切り替えられます。 VMware vMotion により、障害が発生しているホストからクラスター内の使用可能な他のサーバーに VM が移動されます。これにより、ワークロードのライブ マイグレーションのダウンタイムをゼロにできる可能性があります。 障害が発生しているホストをメンテナンス モードにすることができない場合は、そのホストがクラスターから削除されます。
Azure VMware Solution では、ホスト上の次の状態が監視されます。
- プロセッサの状態
- メモリの状態
- 接続と電源の状態
- ハードウェア (ファン) の状態
- ネットワーク接続の切断
- ハードウェア (システム ボード) の状態
- vSAN ホストのディスクで発生するエラー
- ハードウェアの電圧
- ハードウェアの温度の状態
- ハードウェアの電源の状態
- 記憶域の状態
- 接続エラー
Azure におけるプライベート クラウド、クラスター、ホスト
Azure VMware Solution は、vSphere クラスターを含んだプライベート クラウドを提供します。 このクラスターは、専用のベアメタル Azure ホストから構築されます。
各プライベート クラウドには、同じ vCenter Server と NSX-T Manager によって管理される複数のクラスターを含めることができます。 プライベート クラウドのインストールと管理は、Azure サブスクリプション内から行います。 サブスクリプション内のプライベート クラウドの数はスケーラブルです。 初期状態では、サブスクリプションにつきプライベート クラウドは 1 つという制限があります。
作成されるプライベート クラウドごとに、既定で 1 つの vSphere クラスターが存在します。 クラスターの追加、削除、スケーリングは、Azure portal または API を使用して行うことができます。 ノードの構成は、コア、メモリ、ストレージの要件に基づいて Microsoft が行います。 リージョンに適したノードの種類を選択します。最も一般的な選択肢は AV36 です。
ノードの最小構成と最大構成は次のとおりです。
- 1 つのクラスターに少なくとも 3 つのノード
- クラスター 1 つあたりの最大ノード数 = 16
- Azure プライベート クラウド 1 つあたりの最大クラスター数 = 12
- Azure プライベート クラウド 1 つあたりの最大ノード数 = 96
ハイエンド ホストはそれぞれ、Intel 18 コア 2.3 GHz のデュアル プロセッサと 576 GB の RAM を搭載します。 ハイエンド ホストには、15.20 TB (SSD) の RAW vSAN 容量層と 3.2 TB (NVMe) の vSAN キャッシュ層を含む 2 つの vSAN ディスク グループがあります。
クラスターの構成や操作のほとんどの側面は、vSphere と NSX-T Manager を使用して管理します。 クラスター内の各ホストのローカル ストレージはすべて、vSAN の管理下に置かれます。 このソリューションの各 ESXi ホストは、4 つの 25 Gbps NIC、ESXi のシステム トラフィック用にプロビジョニングされた 2 つの NIC、ワークロードのトラフィック用にプロビジョニングされた 2 つの NIC で構成されています。
Azure VMware Solution のプライベート クラウド クラスターを新たにデプロイする場合に使用される VMware ソフトウェアのバージョンは次のとおりです。
| ソフトウェア | Version |
|---|---|
| VMware vCenter サーバー | 7.0 U3c |
| ESXi | 7.0 U3c |
| vSAN | 7.0 U3c |
| vSAN オンディスク フォーマット | 10 |
| HCX | 4.4.2 |
| VMware NSX-T データ センター 注: VMware NSX-T Data Center が唯一サポートされる NSX Data Center のバージョンです。 |
3.1.2 |
NSX-T が NSX のサポートされている唯一のバージョンです。 既存のプライベート クラウドに新しいクラスターを追加する場合は、現在実行中のソフトウェア バージョンが適用されます。
Azure VMware Solution をサブスクリプションにデプロイすると、Azure Monitor ログが自動的に生成されます。 Azure Monitor のログを使って、Azure VMware Solution 内の仮想マシン (VM) のパターンを監視できます。
Azure での相互接続性
Azure VMware Solution のプライベート クラウド環境には、オンプレミスのリソースと Azure ベースのリソースからアクセスできます。 この相互接続性は、次のサービスによって実現されています。
- Azure ExpressRoute
- VPN 接続
- Azure Virtual WAN
次の図は、ExpressRoute と ExpressRoute Global Reach による Azure VMware Solution の相互接続方法を示しています。
これらのサービスを使用するには、特定のネットワーク アドレス範囲とファイアウォール ポートを有効にする必要があります。
Azure VMware Solution には、仮想ネットワークあたり 4 本という ExpressRoute 回線の上限を超えない限り、既存の ExpressRoute ゲートウェイを使用して接続することができます。 オンプレミスから ExpressRoute 経由で Azure VMware Solution にアクセスするには、ExpressRoute Global Reach が必要です。
ExpressRoute Global Reach は、プライベート クラウドをオンプレミス環境に接続するために使用されます。 この接続には、サブスクリプション内にオンプレミスへの ExpressRoute 回線がある仮想ネットワークが必要です。 Azure VMware Solution のプライベート クラウドには、相互接続に関して次の 2 つの選択肢があります。
Azure のみの基本的な相互接続性では、Azure の仮想ネットワークを 1 つだけ使用してプライベート クラウドを管理および使用できます。 この実装は、Azure VMware Solution の評価、またはオンプレミス環境からのアクセスを必要としない実装に最適です。
オンプレミスとプライベート クラウドとの間の完全な相互接続性では、オンプレミス環境と Azure VMware Solution プライベート クラウドとの間の相互接続も対象となるように、Azure のみの基本的な実装を拡張します。
管理、プロビジョニング、vMotion に使用されるプライベート ネットワークは、プライベート クラウドのデプロイ時に作成されます。 これらのプライベート ネットワークは、vCenter と NSX-T Manager、および仮想マシンの vMotion またはデプロイへのアクセスに使われます。
プライベート クラウドのストレージ
Azure VMware Solution には、クラスターのローカルに置かれた、完全に構成されたネイティブのオールフラッシュ vSAN ストレージが使用されます。 クラスター内の各ホストのローカル ストレージはすべて、vSAN データストアで使用されます。また、保存データの暗号化は既定で有効になっています。
すべてのディスク グループでは、1 ホストにつき 15.4 TB の SSD ベースの Raw キャパシティと 1.6 TB の NVMe キャッシュ層が使用されます。 vSphere クラスターの各ノード上には、2 つのディスク グループが作成されます。 各ディスク グループには、1 つのキャッシュ ディスクと 3 つのキャパシティ ディスクが含まれています。 すべてのデータストアは、プライベート クラウドのデプロイの一環として作成され、すぐに使用できるようになります。
ポリシーは vSphere クラスター上に作成されて vSAN データストアに適用されます。 必要なサービス レベルを保証するために VM ストレージ オブジェクトをデータ ストア内でプロビジョニングして割り当てる方法が、これによって決定されます。 サービスレベル アグリーメントを守るために、vSAN データストアには 25% のスペア キャパシティが確保されている必要があります。
プライベート クラウドで実行されているワークロードには、Azure のストレージ サービスを使用できます。 次の図は、Azure VMware Solution で使用できるストレージ サービスを示しています。
セキュリティとコンプライアンス
Azure VMware Solution プライベート クラウドのアクセスとセキュリティには、vSphere のロールベースのアクセス制御が使用されます。 LDAP または LDAPS を使って、Active Directory の [ユーザーとグループ] を CLoudAdmin ロールで構成できます。
Azure VMware Solution の vCenter は、cloudadmin という組み込みのローカル ユーザーを cloudAdmin ロールに割り当てます。 cloudAdmin ロールには、他の VMware クラウド ソリューションにおける特権とは異なる vCenter 特権があります。
ローカルの cloudadmin ユーザーは、Active Directory 管理者が Azure VMware Solution のユーザーにアクセス許可を付与できるよう、ID ソースをリンクすることができます。
Azure VMware Solution のデプロイの管理者は、管理者ユーザー アカウントにアクセスできません。 ただし管理者は、Active Directory のユーザーとグループを vCenter の cloudAdmin ロールに割り当てることができます。
プライベートクラウド ユーザーには、Microsoft がサポートおよび管理する特定の管理コンポーネントへのアクセス権がなく、このユーザーがそれらを構成することはできません。 そうしたコンポーネントの例としては、クラスター、ホスト、データストア、分散仮想スイッチがあります。
Azure VMware Solution では、保存データの暗号化を使い、既定でそれを有効にして、vSAN ストレージ データストアのセキュリティが提供されます。 この暗号化はキー管理サービス (KMS) を利用したもので、vCenter によるキー管理操作をサポートします。 キーは暗号化された状態で保存され、Azure Key Vault マスター キーによってラップされます。 ホストがクラスターから削除されると、SSD 上のデータはすぐに無効になります。 次の図は、暗号化キーと Azure VMware Solution の関係を示しています。
Azure VMware Solution をデプロイする手順
次の表は、Azure VMware Solution を導入する組織が従うべき手順を簡単に示したものです。
| マイルストーン | 手順 |
|---|---|
| プラン | Azure VMware Solution のデプロイを計画します。 - 評価する - クォータを要求する - ホストを確認する - サイズと接続を決める |
| 配置 | Azure VMware Solution をデプロイして構成します。 - Microsoft.AVS リソース プロバイダーを登録する - Azure VMware Solution のプライベート クラウドを作成する - ExpressRoute を使用して Azure Virtual Network に接続する - 接続を検証する |
| オンプレミスへの接続 | - オンプレミスの ExpressRoute 回線で ExpressRoute 承認キーを作成する - プライベート クラウドをオンプレミスにピアリングする - オンプレミス ネットワークの接続を確認する |
| VMware HCX をデプロイして構成する | VMware HCX をデプロイして構成します。 - VMware HCX コネクタ OVA をダウンロードする - オンプレミスの VMware HCX OVA (VMware HCX コネクタ) をデプロイする - VMware HCX コネクタをアクティブにする - オンプレミスの VMware HCX コネクタを Azure VMware Solution HCX Cloud Manager とペアリングする - 相互接続 (ネットワーク プロファイル、コンピューティング プロファイル、およびサービス メッシュ) を構成する - アプライアンスの状態を確認し、移行が可能なことを検証して、セットアップを完了する |