VMware Cloud on AWSの構造とハイブリッド管理（2）：詳説VMware Cloud on AWS（3）（3/3 ページ）

オンプレミスとクラウドのハイブリッド管理

　VMware Cloud on AWSでは、オンプレミスのvSphere環境とクラウドのSDDCの管理を統合したハイブリッドな管理を提供している。オンプレミスのvSphere環境の管理対象をクラウド側のvCenterにまで拡張するのである。これにより、単一の管理画面でオンプレミスのvSphere環境とクラウドのSDDCを管理することができる。

　これを実現するために、VMware Cloud on AWSのサービスに組み込まれたハイブリッドリンクモードが開発された。ハイブリッドリンクモードの以下の項目について説明する。

• ハイブリッドリンクモードの機能
• 異なるSSOドメインの扱い
• Initial Availability（2017年9月）での実装
• SDDC 1.5（2018年11月）での実装

ハイブリッドリンクモードの機能

　ハイブリッドリンクモードは、オンプレミスのvSphere環境とVMware Cloud on AWSのSDDCに対し、以下の機能を提供する。

• 単一画面でのインベントリ管理
• オンプレミスのディレクトリサーバを用いたVMware Cloud on AWSのSDDCの認証
• ワークロードのハイブリッドな移行
• 共通のタグ管理

単一画面でのインベントリ管理

　単一画面のvSphere Client 1つで、オンプレミス側のvCenterとクラウド側のvCenterの両方のインベントリを表示し、操作可能となる。画面左のインベントリツリーに複数のvCenterが表示され、オンプレミス側とクラウド側の違いを意識することなくシームレスに運用できる。

　オンプレミス側で複数のvCenterを拡張リンクモードでリンクしている場合には、クラウド側のvCenterも含め、単一の画面で全てのvCenterのインベントリを管理できる。

オンプレミスのディレクトリサーバを用いた認証

　顧客が利用できるcloudadminユーザーでは、クラウド側のvCenterのSSOドメインにユーザーやグループを作成することができない。cloudadmin以外のユーザーを利用する際には、クラウド側のvCenterに認証用のIDソースを追加する必要がある。ハイブリッドリンクモードでは、セキュリティに配慮した構成でオンプレミスのディレクトリサーバをIDソースとすることができる。対応しているディレクトリサーバは、Active DirectoryとOpenLDAPである。

　オンプレミスのディレクトリサーバをIDソースとする構成は、ハイブリッドリンクモードの重要な点となるため、後続の実装の項目で説明する。

ワークロードのハイブリッドな移行

　単一画面での両方のインベントリを表示できるため、クリック操作でオンプレミスからVMware Cloud on AWSへの仮想マシンの移行操作を行うことができる。vMotionによるライブマイグレーション、およびコールドマイグレーションのいずれにも対応する。

　オンプレミスのvCenterのバージョンが古いなどの理由でハイブリッドリンクモードを構成できない場合、UIからの操作で仮想マシンのオンプレミスからVMware Cloud on AWSへの仮想マシンの移行を行うことはできない。この場合、PowerCLIでのCLIとなるものの、両方のvCenterに接続した上で、Move-VMコマンドレットを用いることで、クラウド間のハイブリッドな移行を実行できる。

共通のタグ管理

　ハイブリッドリンクモードでは、オンプレミス側のvCenterのタグをクラウド側のvCenterと同期することができる。ネイティブのAWSではタグによるリソースの管理は一般的だが、大規模なvSphere環境でもタグによる管理が行われる。理由としては、仮想マシンフォルダでの1種類の階層構造だけでは大量の仮想マシンを管理しきれなくなってきていることが挙げられる。

異なるSSOドメインの扱い

　オンプレミスの環境で複数のvCenterを利用している顧客は、拡張リンクモードの機能を用いて単一画面での複数vCenterの管理を実現している。これは、単一のSSOドメインに複数のvCenter Serverをリンクしている。

　一方、VMware Cloud on AWSでは、SDDC作成時にクラウド側に独立したSSOドメインが作成される。このため、オンプレミスとクラウドでリンクモードを確立しようとしても、SSOドメインが異なるため、既存の拡張リンクモードでは対応することができない。

　VMware Cloud on AWSでは、ハイブリッドリンクモードを新たに実装し、この問題を解決している。複数のSSOドメインをリンクし、それぞれのSSOドメインに属するvCenterをリンクするのである。SSOドメインをリンクした後に、オンプレミスの任意のグループをクラウド側のSSOドメインのCloudAdminグループにマップすることで、異なるSSOドメインの連携を実現している。

　オンプレミス側のSSOドメインは、単一のvCenterのみが属する単純な構成から、複数のvCenterをリンクした拡張リンクモードでも、ハイブリッドリンクモードを構成することができる。

　リンクされるSSOドメインは、オンプレミス側とクラウド側でそれぞれ1つずつである点に注意されたい。クラウド側のSSOドメインに対し、複数のオンプレミスSSOドメインをリンクすることはできない。

　ハイブリッドリンクモードは2017年9月のInitial Availabilityで初めて導入され、2018年11月のSDDC 1.5末のリリースで大幅に構成が変更され必要要件が改善されている。それぞれの実装について以下に説明する。

Initial Availabilityでの実装（2017年9月）

　2017年9月時点の実装は、クラウド側のvCenterから直接オンプレミスのSSOドメインとリンクする方式をとっていた。この実装はシンプルではあったものの、通信要件が厳しく顧客からの反応は芳しくなかった。対応するオンプレミス側のvCenterのバージョンは6.0U3c以上である。

　ハイブリッドリンクモードでは、通信要件としてクラウド側のvCenterから以下のコンポーネントへの通信が必要となる。

• オンプレミスのvCenter Server
• オンプレミスのDNSサーバ
• オンプレミスのディレクトリサーバ
• オンプレミスのPlatform Service Controller（PSC）

　このうちディレクトリサーバへのアクセス要件について難色を示す顧客が多かった。その理由の代表的なものとして、クラウド側からオンプレミスのディレクトリサーバにアクセスさせたくない、というものがあった。

　また、オンプレミスとクラウドの単一画面でのインベントリ管理が行えるのは、クラウド側のvSphere Clientにログインした場合のみで、オンプレミスのvSphere Clientにログインしてもクラウド側のvCenterのインベントリを見ることはできなかった。

サービス開始当初のハイブリッドリンクモードの実装

SDDC 1.5での実装（2018年11月）

　上記の顧客からのフィードバックを受け、2018年11月にvCenter Cloud Gatewayアプライアンスを用いたハイブリッドリンクモードがリリースされた。対応するオンプレミスのvCenterのバージョンは6.5d以上である。クラウド側のvCenterから、オンプレミスのディレクトリサーバを直接参照せずに、ハイブリッドリンクモードが構成できるように機能強化されている。これはオンプレミスに展開される仮想アプライアンスvCenter Cloud Gatewayを用いて実現されている。

2018年11月以降のハイブリッドリンクモードの実装

　Initial Availabilityでは、ハイブリッドリンクモードを実現するサーバプロセス「HVC Sync Service」が、クラウド側のvCenter Serverでのみ動作していた。このサーバプロセスをオンプレミス側のvCenter Cloud Gatewayアプライアンスでも動作させることで、オンプレミスに展開されるvCenter Cloud Gatewayアプライアンスのみが、オンプレミスのvCenter、ディレクトリサーバ、DNS、PSCアクセスできればよいようにした。クラウド側のvCenterとvCenter Cloud Gatewayアプライアンス間の通信はHTTPS（443）のみで行われ、どちらからでもハイブリッドリンクモードを構成するためのセッションを確立できる。

　vCenter Cloud Gatewayアプライアンスは、非常に野心的なコンポーネントである。展開し、ハイブリッドリンクモードを構成した後、vCenter Cloud Gatewayアプライアンスのパッチ適用／アップデート／バックアップ／監視に関する運用は、VMwareによって行われる。パッチ適用／アップデートは、VMware Cloud on AWSのパッチ適用／アップデートのタイミングに実行される。オンプレミスに展開されたコンポーネントにもかかわらず、VMwareがそのアプライアンスの管理を行うのである。よりVMwareが運用する範囲が広がるが、同様のコンセプトに、2018年12月のAWS re:Invent 2018で発表されたVMware Cloud on AWS Outposts、2019年4月のDell Technology Worldで発表されたVMware Cloud on Dell EMCがある。

　なお、ハイブリッドリンクモードは、VMware Cloud on AWSを利用するに当たり必須というわけではない。オンプレミスのvCenterのバージョンをハイブリッドリンクモードの要件に合わせられない、あるいは、ネットワーク要件を満たせないといった事情で、ハイブリッドリンクモードを構成できないケースもあり得る。その場合、オンプレミスのvCenterとクラウドのvCenterに別々のブラウザでログインして操作すれば、仮想マシンの操作自体は問題ない。また、仮想マシンを移動させる際にはPowerCLIを使い、2つのvCenterに接続しておけば、Move-VMといった仮想マシンを移動するコマンドレットは問題なく利用できる。また、後ほど詳解するVMware HCXを用いる場合もハイブリッドリンクモードは必須要件ではない。

　両方のvCenterを恒常的に操作する場合には、ハイブリッドリンクモードにより管理が容易となる。また、ユーザーの追加を行う場合にはオンプレミスのADを保護できる。また、今後ハイブリッド管理を便利にする機能拡充も行われていくのでvCenter Cloud Gatewayアプライアンスの導入を推奨する。

　今回は、VMware Cloud Servicesの概要に始まり、VMware Cloud on AWSのSDDC、クラスタ、ハードウェア、ハイブリッドリンクモードを説明した。全く新しく見える機能も、既存のVMwareの機能と既存のAWSの機能を組み合わせや、組み合わせた際の制限を乗り越える追加機能であることが見てとれると思う。

　次回は、顧客からの質問が最も多い分野であるネットワークのうち、SDDCの内部のネットワークについて説明する。