Azure VMware Solution の機能
- 7 分
Azure VMware Solution はどのようなもので、何ができるのかがわかったので、Azure でそれがどのように動作するのかを見てみましょう。
サポートの分担
オンプレミスの VMware vSphere 環境では、プラットフォームを実行するためのすべてのハードウェアとソフトウェアをサポートする必要があります。 Azure VMware Solution では行われません。 顧客のプラットフォームは Microsoft が管理します。 顧客が管理する内容と Microsoft が管理する内容を見てみましょう。
表の説明:Microsoft による管理 = 青、お客様による管理 = 灰色
VMware と連携して、Microsoft は VMware ソフトウェア (ESXi、vCenter Server、vSAN) のライフサイクル管理について説明します。 また、Microsoft は、NSX アプライアンスのライフサイクル管理とネットワーク構成のブートストラップのために VMware と連携しています。 たとえば、Tier-0 ゲートウェイを作成し、北/南ルーティングを有効にします。
お客様は、NSX SDN 構成を担当します。
- ネットワーク セグメント
- 分散ファイアウォール規則
- Tier 1 ゲートウェイ
- ロード バランサー
監視と修復
Azure VMware Solution は、基になるコンポーネントと VMware ソリューション コンポーネントの両方の正常性を継続的に監視します。 Azure VMware Solution で障害が検出されると、失敗したコンポーネントが修復されます。 Azure VMware Solution によって Azure VMware Solution ノードで機能低下または障害が検出されると、ホスト修復プロセスがトリガーされます。
ホストの修復では、不具合のあるクラスターのノードを新しい正常なノードに置き換えます。 その後、可能な場合は、障害が発生しているホストが VMware vSphere メンテナンス モードに切り替えられます。 VMware vMotion により、障害が発生しているホストからクラスター内の使用可能な他のサーバーに VM が移動されます。これにより、ワークロードのライブ マイグレーションのダウンタイムをゼロにできる可能性があります。 障害が発生しているホストをメンテナンス モードにすることができない場合は、そのホストがクラスターから削除されます。
Azure VMware Solution では、ホスト上の次の状態が監視されます。
- プロセッサの状態
- メモリの状態
- 接続と電源の状態
- ハードウェア (ファン) の状態
- ネットワーク接続の切断
- ハードウェア (システム ボード) の状態
- vSAN ホストのディスクで発生するエラー
- ハードウェアの電圧
- ハードウェアの温度の状態
- ハードウェアの電源の状態
- 記憶域の状態
- 接続エラー
Azure におけるプライベート クラウド、クラスター、ホスト
Azure VMware Solution は、vSphere クラスターを含んだプライベート クラウドを提供します。 このクラスターは、専用のベアメタル Azure ホストから構築されます。
各プライベート クラウドは、同じ vCenter Server と NSX Manager によって管理される複数のクラスターを持つことができます。 プライベート クラウドのインストールと管理は、Azure サブスクリプション内から行います。 サブスクリプション内のプライベート クラウドの数はスケーラブルです。
作成されるプライベート クラウドごとに、既定で 1 つの vSphere クラスターが存在します。 クラスターの追加、削除、スケーリングは、Azure portal または API を使用して行うことができます。 ノードの構成は、コア、メモリ、ストレージの要件に基づいて Microsoft が行います。 リージョンに適したノードの種類を選択します。最も一般的な選択肢は AV36P です。
ノードの最小構成と最大構成は次のとおりです。
- 1 つのクラスターに少なくとも 3 つのノード
- クラスター 1 つあたりの最大ノード数 = 16
- Azure VMware Solution プライベート クラウド内の最大 12 個のクラスター
- Azure VMware Solution プライベート クラウド内の最大 96 ノード
次の表は、使用可能な AVS ホストの CPU、メモリ、ディスク、およびネットワークの仕様を示しています。
| ホストのタイプ | CPU | RAM | vSAN キャッシュ層 | vSAN 容量 |
|---|---|---|---|---|
| AV36 | デュアル Intel Xeon Gold 6140 CPU、18 コア/CUP @ 2.3 GHz。 合計 36 個の物理コア。 | 576 GB | 3.2 TB (NVMe) | 15.20 TB (SSD) |
| AV36P | デュアル Intel Xeon Gold 6240 CPU、18 コア/CPU @ 2.6 GHz/ 3.9 GHz ターボ。 合計 36 個の物理コア。 | 768 GB | 1.5 TB (Intel Cache) | 19.20 TB (NVMe) |
| AV52 | デュアル Intel Xeon Platinum 8270 CPU、26 コア/CPU @ 2.7 GHz/ 4.0 GHz ターボ。 合計 52 個の物理コア。 | 1,536 GB | 1.5 TB (Intel Cache) | 38.40 TB (NVMe) |
| AV64* | デュアル Intel Xeon Platinum 8370C CPU、32 コア/CPU @ 2.8 GHz/ 3.5 GHz ターボ。 合計 64 個の物理コア。 | 1,024 GB | 3.84 TB (NVMe) | 15.36 TB (NVMe) |
(*) AV64 ホストを追加する前に、AV36、AV36P、または AV52 を使用してデプロイされた Azure VMware Solution プライベート クラウドが必要です。
vSphere と NSX Manager を使用して、クラスターの構成または操作のほとんどの側面を管理します。 クラスター内の各ホストのローカル ストレージはすべて、vSAN の管理下に置かれます。 このソリューションの各 ESXi ホストは、4 つの 25 Gbps NIC、ESXi のシステム トラフィック用にプロビジョニングされた 2 つの NIC、ワークロードのトラフィック用にプロビジョニングされた 2 つの NIC で構成されています。
Azure VMware Solution のプライベート クラウド クラスターの新しいデプロイで使用される VMware ソフトウェアバージョンは次のとおりです。
| ソフトウェア | バージョン |
|---|---|
| VMware vCenter サーバー | 7.0 U3o |
| ESXi | 7.0 U3o |
| vSAN | 7.0 U3 |
| vSAN オンディスク フォーマット | 15 |
| HCX | 4.8.2 |
| VMware NSX | 4.1.1 |
NSX-T が NSX のサポートされている唯一のバージョンです。 既存のプライベート クラウドに新しいクラスターを追加する場合は、現在実行中のソフトウェア バージョンが適用されます。
Azure での相互接続性
Azure VMware Solution のプライベート クラウド環境には、オンプレミスおよび Azure ベースのリソースからアクセスできます。 この相互接続性は、次のサービスによって実現されています。
- Azure ExpressRoute
- VPN 接続
- Azure Virtual WAN
- Azure ExpressRoute ゲートウェイ
次の図は、ExpressRoute と ExpressRoute Global Reach による Azure VMware Solution の相互接続方法を示しています。
これらのサービスを使用するには、特定のネットワーク アドレス範囲とファイアウォール ポートを有効にする必要があります。
仮想ネットワークあたり 4 つの ExpressRoute 回線の制限を超えない場合は、既存の ExpressRoute ゲートウェイを使用して Azure VMware Solution に接続できます。 ExpressRoute 経由でオンプレミスから Azure VMware Solution にアクセスするには、優先オプションとして ExpressRoute Global Reach を使用します。 特定のネットワークまたはセキュリティの要件のために使用できない場合や不適切な場合は、代替オプションを検討してください。
ExpressRoute Global Reach は、プライベート クラウドをオンプレミス環境に接続するために使用されます。 この接続には、サブスクリプション内にオンプレミスへの ExpressRoute 回線がある仮想ネットワークが必要です。 Azure VMware Solution のプライベート クラウドには、相互接続に関して次の 2 つの選択肢があります。
Azure のみの基本的な相互接続性では、Azure の仮想ネットワークを 1 つだけ使用してプライベート クラウドを管理および使用できます。 この実装は、Azure VMware Solution の評価、またはオンプレミス環境からのアクセスを必要としない実装に最適です。
オンプレミスとプライベート クラウドとの間の完全な相互接続性では、オンプレミス環境と Azure VMware Solution プライベート クラウドとの間の相互接続も対象となるように、Azure のみの基本的な実装を拡張します。
プライベート クラウドのデプロイ中に、管理、プロビジョニング、vMotion 用のプライベート ネットワークが作成されます。 これらのプライベート ネットワークは、vCenter Server と NSX-T Manager、仮想マシン vMotion、または仮想マシンのデプロイにアクセスするために使用されます。
プライベート クラウド ストレージ
Azure VMware Solution では、クラスターに対してローカルなネイティブで完全に構成されたオールフラッシュ VMware vSAN ストレージが使用されます。 クラスター内の各ホストのすべてのローカル ストレージは VMware vSAN データストアで使用され、保存データ暗号化は既定で有効になっています。
vSAN の元のストレージ アーキテクチャでは、ディスク グループと呼ばれるリソースの単位が使用されます。 各ディスク グループは、キャッシュと容量レベルで構成されます。 次の表に示すように、すべてのディスク グループで NVMe または Intel キャッシュが使用されます。 キャッシュレベルと容量レベルのサイズは、Azure VMware Solution ホストの種類によって異なります。 vSphere クラスターの各ノード上には、2 つのディスク グループが作成されます。 各ディスク グループには、1 つのキャッシュ ディスクと 3 つのキャパシティ ディスクが含まれています。 すべてのデータストアは、プライベート クラウドのデプロイの一環として作成され、すぐに使用できるようになります。
| ホストのタイプ | vSAN キャッシュ層 (TB、未加工) | vSAN 容量レベル (TB、未加工) |
|---|---|---|
| AV36 | 3.2 (NVMe) | 15.20 (SSD) |
| AV36P | 1.5 (Intel キャッシュ) | 19.20 (NVMe) |
| AV52 | 1.5 (Intel キャッシュ) | 38.40 (NVMe) |
| AV64 | 3.84 (NVMe) | 15.36 (NVMe) |
ポリシーは vSphere クラスター上に作成されて vSAN データストアに適用されます。 必要なサービス レベルを保証するために、vSAN データストア内で VM ストレージ オブジェクトをプロビジョニングおよび割り当てる方法を決定します。 サービスレベル アグリーメントを守るために、vSAN データストアには 25% のスペア キャパシティが確保されている必要があります。 さらに、Azure VMware Solution のサービス レベル アグリーメントを維持するには、該当する FTT (許容エラー) ポリシーを適用する必要があります。 これは、クラスター のサイズに基づいて変化します。
プライベート クラウドで実行されているワークロードには、Azure のストレージ サービスを使用できます。 次の図は、Azure VMware Solution で使用できる使用可能なストレージ サービスの一部を示しています。
セキュリティとコンプライアンス
Azure VMware Solution プライベート クラウドのアクセスとセキュリティには、vSphere のロールベースのアクセス制御が使用されます。 Ldap または LDAPS を使用して、CloudAdmin ロールを使用して Active Directory のユーザーとグループを構成できます。
Azure VMware Solution では、vCenter Server には cloudAdmin ロールに割り当てられている cloudadmin という組み込みのローカル ユーザーがあります。 cloudAdmin ロールには、他の VMware クラウド ソリューションの管理者アクセス許可とは異なる vCenter Server のアクセス許可があります。
ローカル CloudAdmin ユーザーには、オンプレミスのライトウェイト ディレクトリ アクセス プロトコル (LDAP) サーバーや Secure LDAP (LDAPS) サーバーなどの ID ソースを vCenter Server に追加するアクセス許可がありません。 Run コマンドを使用して ID ソースを追加し、CloudAdmin ロールをユーザーとグループに割り当てることができます。
Azure VMware Solution のデプロイでは、管理者は管理者ユーザー アカウントにアクセスできません。 管理者は、vCenter Server の CloudAdmin ロールに Active Directory のユーザーとグループを割り当てることができます。
プライベート クラウド ユーザーは、Microsoft がサポートおよび管理する特定の管理コンポーネントにアクセスすることも、構成することもできません。 そうしたコンポーネントの例としては、クラスター、ホスト、データストア、分散仮想スイッチがあります。
Azure VMware Solution では、保存データの暗号化を使い、既定でそれを有効にして、vSAN ストレージ データストアのセキュリティが提供されます。 暗号化はキー管理サービス (KMS) に基づいており、キー管理のための vCenter Server 操作をサポートします。 キーは暗号化された状態で保存され、Azure Key Vault マスター キーによってラップされます。 ホストがクラスターから削除されると、SSD 上のデータはすぐに無効になります。 次の図は、暗号化キーと Azure VMware Solution の関係を示しています。
Azure VMware Solution をデプロイする手順
次の表は、Azure VMware Solution を導入する組織が従うべき手順を簡単に示したものです。
| マイルストーン | 手順 |
|---|---|
| プラン | Azure VMware Solution のデプロイを計画します。 - ワークロードを評価する - サイズを決定する - ホストを確認する - 見積もりを要求する - ネットワークと接続を決定する |
| 配置 | Azure VMware Solution をデプロイして構成します。 - Microsoft.AVS リソース プロバイダーを登録する - Azure VMware Solution のプライベート クラウドを作成する - ExpressRoute を使用して Azure Virtual Network に接続する - 接続を検証する |
| オンプレミスへの接続 | オンプレミスの ExpressRoute 回線に ExpressRoute 承認キーを作成します。 - プライベート クラウドをオンプレミスにピアリングする - オンプレミスのネットワーク接続を確認する その他の接続オプションも利用できます。 |
| VMware HCX をデプロイして構成する | VMware HCX をデプロイして構成します。 - HCX サービス アドオンを有効にする - VMware HCX コネクタ OVA をダウンロードする - オンプレミスの VMware HCX OVA (VMware HCX コネクタ) をデプロイする - VMware HCX コネクタをアクティブにする - オンプレミスの VMware HCX コネクタを Azure VMware Solution HCX Cloud Manager とペアリングする - 相互接続 (ネットワーク プロファイル、コンピューティング プロファイル、およびサービス メッシュ) を構成する - アプライアンスの状態を確認し、移行が可能なことを検証して、セットアップを完了する |