vRealize Suite の概要

vRealize Suite 2019

最新の技術ドキュメントは、 VMware の Web サイト （https://docs.vmware.com/jp/） でご確認いただけます。 このドキュメ

ントに関するご意見およびご感想は、docfeedback@vmware.com までお送りください。

VMware, Inc.3401 Hillview Ave.Palo Alto, CA 94304www.vmware.com

ヴイエムウェア株式会社

105-0013　東京都港区浜松町 1-30-5浜松町スクエア 13Fwww.vmware.com/jp

Copyright ©

2019 VMware, Inc. All rights reserved. 著作権および商標情報。

vRealize Suite の概要

VMware, Inc. 2

目次

VMware vRealize Suite の概要 4

1 vRealize Suite の概要 5vRealize Suite の機能 5

vRealize Suite のエディションと製品 6

vRealize Suite のライセンス 8

2 vRealize Suite のアーキテクチャの概要 10Software-Defined Data Center 10

vRealize Suite 環境の概念設計 12

管理クラスタ内の vRealize Suite 製品 14

SDDC のコア インフラストラクチャ 15

vRealize Suite インフラストラクチャの仮想化および管理 16

vRealize Suite コア インフラストラクチャの管理 19

vRealize Suite のコア インフラストラクチャの監視 21

インフラストラクチャ サービスの提供 21

Platform as a Service の提供 23

vRealize Suite セキュリティの考慮事項 24

vRealize Suite の認証と権限 24

TLS およびデータ保護 27

物理レイヤーのセキュリティ保護 29

仮想レイヤーのセキュリティ保護 32

VMware NSX を使用したワークロードのセキュリティ保護 34

3 vRealize Suite のインストールのチェックリスト 39

4 古いバージョンの vRealize Suite または vCloud Suite からのアップグレード 41

VMware, Inc. 3

VMware vRealize Suite の概要

『VMware vRealize Suite の概要』では、アーキテクチャの概要と vRealize Suite のインストール方法、構成方法、

使用方法について説明します。

開始の手引きとして、インストール方法、構成方法、使用方法が詳しく説明されており、個別製品専用の詳細なコン

セプトと手順も参照できるようになっています。

対象者

この情報は、vRealize Suite の製品を導入して、Software-Defined Data Center (SDDC) の監視と管理に使用する

方を対象としています。この情報は、Windows または Linux のシステム管理者としての経験があり、仮想マシン テクノロジーおよびデータセンターの運用に詳しい方を対象としています。

VMware, Inc. 4

vRealize Suite の概要 1vRealize Suite では、物理インフラストラクチャ、プライベート クラウド、パブリック クラウドなどを含む VMware vSphere® およびその他のハイパーバイザー全体で、アプリケーション配信、監視、管理用の総合的なクラウド管理

プラットフォームが提供されます。vRealize Suite は、Standard、Advanced、Enterprise の各エディションで使

用可能です。

この章には、次のトピックが含まれています。

n vRealize Suite の機能

n vRealize Suite のエディションと製品

n vRealize Suite のライセンス

vRealize Suite の機能クラウド管理ソリューションの最も一般的な用途として、インテリジェント操作、自動化 IT、Infrastructure as a Service (IaaS)、DevOps 対応 IT があります。インテリジェント操作では、能率的で自動化されたデータセンター運

用を実現できます。自動化 IT、IaaS、DevOps 対応 IT では、アプリケーションとインフラストラクチャ サービスの

配信が有効になります。

インテリジェントな運用管理

インテリジェントな運用では、異種とハイブリッドのクラウド環境全体で IT サービスの健全性、パフォーマンス、容

量の管理が事前に対処され、IT サービスのパフォーマンスと可用性が改善されます。

自動化 IT と IaaS

自動化 IT と IaaS では、IT インフラストラクチャの配信および進行中の管理が自動化され、IT リソースの要求に対す

る応答時間が短縮されて、プロビジョニング済みリソースの進行中の管理が改善されます。

DevOps 対応 IT

DevOps 対応 IT では、開発チーム用にクラウド ソリューションを構築して、次のような機能を含む、完全なアプリ

ケーション スタックを実現できます。

n リソースへの API アクセスと GUI アクセスという形式で、開発者の選択をサポート。

n ハイブリッド クラウド全体でリソースをプロビジョニング。

n さらに高速なアプリケーション配信の継続した実現に対処し、ソリューションの範囲を拡張。

VMware, Inc. 5

vRealize Suite のエディションと製品vRealize Suite は、Standard、Advanced、Enterprise の各エディションで使用可能です。vRealize Suite のエデ

ィションには、さまざまな製品のエディションと各種の機能を備えた個々の製品が含まれています。

vRealize Suite の Standard、Advanced、Enterprise の各エディションには、それぞれ異なる機能セットが用意さ

れています（次の表に概要を記載）。

表 1-1. vRealize Suite のエディションの機能

vRealize Suite 製品 vRealize Suite の機能 Standard Edition Advanced Edition Enterprise Edition

vRealize Operations Manager（vRealize Log Insight を含む）

ログの分析 はい はい はい

運用プラットフォーム はい はい はい

視覚化 はい はい はい

ポリシー管理 はい はい はい

パフォーマンスの監視と分析 はい はい はい

キャパシティ管理 はい はい はい

ワークロードのバランシング はい はい はい

変更、構成およびコンプライアンス管理 はい はい はい

アプリケーション依存関係のマッピング はい はい はい

アプリケーションの監視 いいえ いいえ はい

vRealize Business for Cloud

仮想インフラストラクチャの自動的な計測、

コスト計算および価格設定

はい はい はい

vRealize Automation に統合されたサー

ビス カタログの自動価格設定

はい はい はい

仮想インフラストラクチャの使用状況分析 はい はい はい

自動レポート作成を可能にするエクスポー

ト可能なデータ セット

はい はい はい

パブリック クラウドと仮想化インフラスト

ラクチャのコスト比較

はい はい はい

パブリック クラウドのコスト計算、使用状

況分析および価格設定

いいえ はい はい

仮想インフラストラクチャおよびパブリッ

ク クラウドのロールベースのショーバック

いいえ はい はい

vRealize Operations Manager に統合さ

れたデータセンターの最適化

いいえ はい はい

vRealize Operations Manager に統合さ

れ、再利用可能な仮想インフラストラクチャ

の計測

いいえ はい はい

カスタム レポート、ビジュアル チャート、

データの自動抽出のための APIいいえ はい はい

vRealize Automation 統一されたサービス カタログと API 関数に

よるセルフサービス

いいえ はい はい

vRealize Suite の概要

VMware, Inc. 6

表 1-1. vRealize Suite のエディションの機能 （続き）

vRealize Suite 製品 vRealize Suite の機能 Standard Edition Advanced Edition Enterprise Edition

マルチベンダーの仮想、物理およびパブリッ

ク クラウドのサポート

いいえ はい はい

IaaS。単一階層および多重階層のマシン プロビジョニングにおける包括的なライフサ

イクル管理

いいえ はい はい

IaaS。ネットワークおよびセキュリティの

構成

いいえ はい はい

Anything as a service (XaaS)。カスタム

IT サービスのオーサリング

いいえ はい はい

XaaS。カタログ アイテムとして、またはイ

ンストール後にデプロイ可能

いいえ はい はい

アプリケーション オーサリングソフトウェ

ア コンポーネントのオーサリングおよびア

プリケーション スタック プロビジョニング

いいえ いいえ はい

アプリケーション オーサリング動的なソフ

トウェア スクリプティングと依存関係バイ

ンディング

いいえ いいえ はい

アプリケーション オーサリングアプリケー

ション中心のネットワークおよびセキュリ

ティ構成

いいえ いいえ はい

vRealize Suite 製品

VMware vRealize Suite には、購入された vRealize Suite のエディションに基づき次の製品またはそれらの製品の

サブセットが含まれています。

表 1-2. vRealize Suite に含まれる製品

製品名 説明

vRealize Suite Lifecycle Manager vRealize Suite 全体のインストール前からインストール後までの操作を自動化し、簡素な操作性

を実現します。vRealize Suite Lifecycle Manager によりライフサイクル管理が 1 つの画面で

自動化されるため、人材をビジネス クリティカルな分野に集中させることができます、また、時

間短縮を実現できるほか、信頼性や一貫性も向上します。

vRealize Operations Manager 仮想環境内のあらゆるレベルの各オブジェクト、個別の仮想マシン、ディスク ドライブのパフォ

ーマンス データから、クラスタやデータセンター全体のパフォーマンス データに至るまで収集

します。データを保存して分析し、その分析結果を使用して仮想環境内のあらゆる場所の問題ま

たは潜在的問題に関するリアルタイムの情報を提供します。

vRealize Log Insight リアルタイムの検索と分析機能により、vSphere のエディションすべてを含む、vRealize Suite のスケーラブルなログの集約とインデックス作成を行います。Log Insight は、ログを収集、イ

ンポート、分析することによって、物理環境、仮想環境およびクラウド環境にわたってシステ

ム、サービス、アプリケーションに関する問題にリアルタイムで回答を提供します。

vRealize Automation プライベート クラウドとパブリック クラウド、物理インフラストラクチャ、ハイパーバイザー、

およびパブリック クラウド プロバイダをまたがる業務用クラウド サービスの導入および提供に

役立ちます。vRealize Automation Enterprise には vRealize Automation Application Services が含まれます。

vRealize Suite の概要

VMware, Inc. 7

表 1-2. vRealize Suite に含まれる製品 （続き）

製品名 説明

vRealize Orchestrator 複雑な IT タスクの自動化を簡素化し、vRealize Suite 製品と連携して、サービスの提供および

運用管理を適合および拡張し、それにより、既存のインフラストラクチャ、ツール、およびプロ

セスと効果的に連携するようにします。

vRealize Business for Cloud クラウド インフラストラクチャの財務的な側面に関する情報を提供し、これらの操作を最適化お

よび改善します。

vRealize Suite のエディションとその製品のエディション

vRealize Suite の Standard、Advanced および Enterprise エディションでは特定の製品のエディションを利用でき

ます。

表 1-3. Suite のエディションにおける vRealize Suite ソフトウェア製品のエディション

vRealize 製品のエディション

vRealize Suite Standard Edition

vRealize Suite Advanced Edition

vRealize Suite Enterprise Edition

VMware vRealize Automation Advanced Edition いいえ はい いいえ

VMware vRealize Automation Enterprise Edition いいえ いいえ はい

VMware vRealize Operations Management Suite (Advanced)

はい はい はい

VMware vRealize Operations Management Suite Application Monitoring

いいえ いいえ はい

VMware vRealize Business for Cloud Standard Edition

はい いいえ いいえ

VMware vRealize Business for Cloud Advanced Edition

いいえ はい はい

VMware vRealize Orchestrator - - -

VMware vRealize Log Insight はい はい はい

vRealize Suite のライセンスvRealize Suite の製品には個別にまたは vRealize Suite 2017 の一部としてライセンスを付与することができます。

vRealize Suite 製品にライセンスを付与するためのライセンス タイプを取得して使用します。

vRealize Suite の概要

VMware, Inc. 8

表 1-4. vRealize Suite 製品と互換性のあるライセンス タイプ

ライセンス タイプ ライセンスの機能

個別の製品ライセンス 一部の製品はスタンドアロン製品として使用でき、製品ライセンスを使用

して仮想マシン単位でライセンスを付与することができます。個別の製

品ライセンスはパブリック クラウドのワークロード、または物理ハード

ウェアのワークロード向けです。

vRealize Suite ポータブル ライセンス ユニット (PLU) ポータブル ライセンス ユニット (PLU) を使用すると、vSphere および

ハイブリッド環境全体でのワークロードのプロビジョニングと管理が可

能です。これにはパブリックとプライベートの両方のクラウド プロバイ

ダが含まれます。PLU は vSphere およびハイブリッド環境のワークロ

ードを計測し、CPU と仮想マシンのメトリックをサポートする単一の

SKU です。各 PLU は、1 つの CPU ライセンスを仮想マシン（無制限）

または 15 個のオペレーティング システム インスタンスに対して付与し

ます。

PLU の詳細については、VMware vRealize Suite と vCloud Suite のライセンス、価格、およびパッケージを参照し

てください。

vRealize Suite の概要

VMware, Inc. 9

vRealize Suite のアーキテクチャの概要 2このアーキテクチャでは、vRealize Suite の製品が製品同士、またデータセンターのシステムとどのように相互作用

して、Software Defined Data Center (SDDC) を実現するかについて説明します。

この章には、次のトピックが含まれています。

n Software-Defined Data Center

n vRealize Suite 環境の概念設計

n 管理クラスタ内の vRealize Suite 製品

n SDDC のコア インフラストラクチャ

n vRealize Suite セキュリティの考慮事項

Software-Defined Data CenterSoftware-Defined Data Center (SDDC) ではさまざまなタイプの機能が提供され、より複雑な機能が、基盤となる

インフラストラクチャ上に構築されています。vRealize Suite のすべての機能を有効にするには、一連のインストー

ル操作と構成操作を実行する必要があります。

vRealize Suite の操作機能すべてを組織やクライアントに配信するには、構造化されたプロセスが必要です。大規模

な組織では、評価、設計、導入、知識移転、ソリューションの検証がこれに相当する場合があります。組織に応じて、

プロセスの拡張を計画する必要があり、それにはさまざまなロールが関与します。

ある特定時点で、vRealize Suite の全機能がすべての環境に必要となるわけではありません。最初にコア データセン

ター インフラストラクチャを導入することで、組織で必要になったときに機能を追加できるようになります。各

SDDC レイヤーでは、個別の導入プロセスを計画して実行しなければならない場合があります。

VMware, Inc. 10

図 2-1. SDDC のレイヤー

サービス管理

ポートフォリオ管理

操作管理

クラウド管理レイヤー

サービス カタログ

セルフサービス ポータル

オーケストレーション

ビジネス継続性

フォールト トレランスおよびディザスタ

リカバリ

バックアップとリストア

ハイパーバイザー

リソースのプール

仮想化管理

仮想インフラストラクチャ レイヤー

計算リソース

ストレージ

ネットワーク

物理レイヤー

セキュリティ

レプリケーション コンプライアンス

リスク

ガバナンス

物理レイヤー このソリューションの最下部レイヤーには、コンピューティング、ネットワーク、

ストレージのコンポーネントが含まれます。コンピューティング コンポーネント

には x86 ベースのサーバが含まれ、管理、エッジ、テナントのコンピューティング

ワークロードが実行されます。ストレージ コンポーネントは、SDDC と IT オート

メーション クラウドの物理的な基盤を提供します。

仮想インフラストラクチャ

レイヤー

仮想インフラストラクチャ レイヤーには、ハイパーバイザー、リソース プーリン

グ、仮想化コントロールを持つ仮想化プラットフォームが含まれます。このレイヤ

ーの VMware 製品は、vSphere、VMware NSX、ESXi、vCenter Server です。こ

れらの製品によって堅牢な仮想化環境が確立され、その他すべてのソリューション

はこの環境に統合されます。物理レイヤーからリソースを抽出することにより、

VMware オーケストレーションと監視のソリューションを統合する基盤となりま

す。このインフラストラクチャ上にプロセスとテクノロジを追加で構築すると、

Infrastructure as a Service (IaaS) と Platform as a Service (PaaS) が有効になり

ます。

クラウド管理レイヤー クラウド管理レイヤーには、導入する機能をまとめるサービス カタログ、カタログ

項目を展開するワークフローを記述するオーケストレーション、エンド ユーザーが

SDDC を使用できるようにするためのセルフサービス ポータルが含まれます。

vRealize Automation によってポータルとカタログが提供され、vRealize Orchestrator の組み込み機能により、複雑な IT プロセスを自動化するためのワー

クフローを管理できるようになります。

サービス管理 マルチリージョン SDDC における、複数のデータ ソースの操作を追跡し分析するに

は、サービス管理を使用します。継続的な可用性の維持およびログ取り込み速度の

向上を実現するには、vRealize Operations Manager と vRealize Log Insight を複数のノードに導入します。

ビジネス継続性 vRealize Operations Manager、vRealize Log Insight、VMware NSX、vRealize Automation のために vSphere Data Protection でバックアップ ジョブを作成す

vRealize Suite の概要

VMware, Inc. 11

るには、ビジネス継続性を使用します。ハードウェア障害が発生しても、保存され

たバックアップから、これらの製品のコンポーネントを復元できます。

セキュリティ VMware は、コンプライアンス リファレンス アーキテクチャ フレームワークおよ

びコンプライアンス準拠かつ監査に対応するプラットフォームを提供します。お客

様はこのプラットフォームを使用して、仮想化ワークロードに関する厳格なコンプ

ライアンス要件を満たし、ビジネス リスクを管理することができます。換性のある

パートナー製品を慎重にマップして、PCI DSS、HIPAA、FedRAMP、CJIS など、

影響力のある団体や政府の要件を満たします。中心的なコンプライアンス リファ

レンス アーキテクチャ フレームワークのドキュメントは次のとおりです。

n 『製品適応性ガイド』では VMware 製品群について製品ごとに説明し、法的な

規制と製品機能のマッピングおよび規制について言及します。

n 『アーキテクチャ設計ガイド』では、特定の規制に準拠したセキュアかつコンプ

ライアンスに対応する VMware vRealize 環境を構築するための考慮事項につ

いて検討します。

n 『検証済みリファレンス アーキテクチャ』のドキュメントでは、監査の調査か

ら規制の証跡を提供し、環境に適用できるようにします。

ドキュメントにアクセスするには、VMware Market Place に移動してコンプライ

アンス ソリューションを選択します。

追加で VMware 製品とサービスを連携することで、vRealize Suite 環境を強化することができます。これらの製品

には、クラウドへの Disaster Recovery、Software-Defined Storage、Software-Defined Networking などの機

能があります。

vRealize Suite 環境の概念設計vRealize Suite の導入を開始するには、わずかな台数の物理ホストが必要です。環境を拡張するための最適かつ最も

安全な方法は、管理クラスタ、エッジ クラスタ、およびペイロード クラスタにホストを分散し、後で数万台の仮想

マシンに拡張できる展開の基盤を築くことです。

クラスタは、お客様のワークロードを含む vRealize Suite インフラストラクチャ全体を実行します。

vRealize Suite の導入と使用には、テクノロジ面および運用面での変革が必要です。新しいテクノロジがデータセン

ターに導入されるため、組織は適切なプロセスを実装して必要なロールを割り当てる必要があります。たとえば、新

たに収集する情報を処理するためのプロセスが必要な場合があります。各管理製品には 1 人以上の管理者が必要で、

一部の管理者にはさまざまなレベルのアクセス権が付与されている場合があります。

図は、技術的機能と組織構造を示しています。

vRealize Suite の概要

VMware, Inc. 12

図 2-2. vRealize Suite 環境の概念設計

ロード バランサー

テナント

組織

プロバイダ

操作

ポータル ポータル

仮想化管理

Edge クラスタ コンピューティング クラスタ

IaaS、PaaS、ITaaS Engine

vRealize Automation

vCenter

パフォーマンスおよび容量管理

vRealize Operations

vRealize Business for Cloud

ログの管理および分析

vRealize Log Insight

IT ビジネス管理

サービス管理

操作管理

トラクチャ管理

インフラス

• 3 台のホストで開始• 2 台のクラスタで開始

• 3 台のホストで開始

管理クラスタ

• 3 台のホストで開始

オーケストレーション

それぞれ少なくとも 3 台以上のホストがあるクラスタが vRealize Suite 実装の基盤となります。

管理クラスタ 管理クラスタ内のホストは、SDDC をサポートするために必要な管理コンポーネン

トを実行します。物理的な場所ごとに 1 つの管理クラスタが必要です。管理クラス

タを実行する ESXi ホストを手動でインストールし、ローカル ハード ドライブを使

用して起動するように構成できます。

管理クラスタはリソースの隔離を提供します。本番アプリケーション、テスト アプ

リケーション、その他のタイプのアプリケーションは、管理サービス、監視サービ

ス、インフラストラクチャ サービス用に予約されたクラスタ リソースを使用できま

せん。リソースの隔離により、管理サービスとインフラストラクチャ サービスを最

適なパフォーマンス レベルで運用できます。孤立したクラスタにより、管理用ハー

ドウェアとお客様のペイロード用ハードウェアを物理的に分離する組織のポリシー

を満たすことができます。

エッジ クラスタ エッジ クラスタでは、環境間の相互接続を行うネットワーク デバイスがサポートさ

れています。内部データセンター ネットワークはゲートウェイを介して外部ネッ

トワークに接続するため、容量が保護されます。ネットワーク エッジ サービスとネ

ットワーク トラフィック管理は、クラスタ内で行われます。すべての外部向けネッ

トワーク接続はこのクラスタ内で完結します。

VMware NSX とペアリングされた専用の vCenter Server インスタンスがエッジ

クラスタ内の ESXi ホストを管理します。この同じ vCenter Server インスタンス

は、外部ネットワークへのアクセスに必要なペイロード クラスタも管理します。

vRealize Suite の概要

VMware, Inc. 13

エッジ クラスタは小規模な場合があり、管理クラスタやペイロード クラスタよりも

容量が少ない ESXi ホストで構成できます。

ペイロード クラスタ ペイロード クラスタでは、その他すべての非エッジ クライアント ワークロードの

分配がサポートされています。このクラスタは、その環境の利用者が仮想マシンで

クラスタを埋めていくまで空のままになります。ペイロード クラスタを追加して

拡張できます。

データセンターのサイズが大きくなったときに、新しいエッジ クラスタとペイロー

ド クラスタを作成し、リソースを追加して拡張したり、ホストを追加してスケール

アウトしたりできます。

管理クラスタ内の vRealize Suite 製品管理クラスタ内の vRealize Suite 製品数は、機能の追加とともに増加します。管理クラスタには、製品の最小セット

が含まれている必要があります。追加機能が必要な場合は、製品セットを拡張できます。

図 2-3. 管理クラスタ内の VMware 製品

vRealizeBusinessfor Cloud

管理クラスタ

管理

vCenter Server

ネットワーク

NSX vRealize Network Insight

パフォーマンスおよび容量管理

vRealizeOperationsManager

ビジネス継続性およびディザスタ リカバリ

vSphereReplication

vSphereData

Protection

SiteRecoveryManager

IaaS および PaaS

vRealizeAutomation

vRealize Orchestrator

セカンダリサイトへのレプリケーション

管理クラスタ製品の最小セット

管理クラスタには、常に vCenter Server インスタンスが含まれます。

vRealize Suite の概要

VMware, Inc. 14

デフォルトでは、vRealize Suite には VMware ネットワーク ソリューションは含まれていません。NSX for vSphere を使用して vRealize Suite 管理クラスタのネットワーク機能を実現できます。NSX はレイヤー 2 ～レイ

ヤー 7 のネットワーク仮想化を提供し、データセンター全体のワークロードに従ってネットワーク プロビジョニング

および管理を迅速化するセキュリティ ポリシーが含まれています。NSX for vSphere は、割引のアドオン価格で購

入できます。

注： 以前のバージョンの vRealize Suite には、管理クラスタ ネットワーク機能を実行する vCloud Networking and Security が含まれていました。vCloud Networking and Security は vRealize Suite には含まれません。

製品の拡張セット

環境がより複雑になるにつれ、追加製品のインストールと構成が必要になります。たとえば、vRealize Operations Manager および関連製品は高度な監視機能を提供します。vRealize Automation は、仮想と物理、プライベートと

パブリック、またはハイブリッド クラウド インフラストラクチャのモデリングとプロビジョニングを素早く行うこ

とができるため、IaaS ソリューションの主要な要素となっています。vCenter Site Recovery Manager インスタン

スでは、Disaster Recovery のためのセカンダリ サイトへの複製を実行できます。

SDDC のコア インフラストラクチャSDDC のコア インフラストラクチャは、監視用の vRealize Operations Manager と vRealize Log Insight、ワーク

フロー管理用の vRealize Automation と vRealize Orchestrator、原価計算用の vRealize Business for Cloud など

の vSphere および vRealize Suite 製品から構成されます。

コア インフラストラクチャには、物理レイヤー、仮想インフラストラクチャ レイヤー、クラウド管理レイヤーが含

まれます。コアの仮想化は仮想インフラストラクチャ レイヤーの、サービス カタログとオーケストレーション サー

ビスはクラウド管理レイヤーの一部です。仮想インフラストラクチャ レイヤーでは、基盤となる物理リソースの統合

とプーリングが可能になります。クラウド管理レイヤーではオーケストレーション機能が提供され、オンプレミス データセンターの運用に関連するコストが削減されます。サービス管理レイヤーでは監視機能が提供され、予測的な分

析とスマート アラートによって、問題の発生を事前に識別して解決し、アプリケーションとインフラストラクチャの

最適なパフォーマンスと可用性を確保できます。

SDDC インフラストラクチャの vRealize Suite 製品では、仮想とハイブリッドのクラウド環境全体でリソースのパフ

ォーマンス、可用性、容量を効率的に管理できます。コア インフラストラクチャでは、vSphere またはその他のサ

ードパーティ テクノロジに基づいて、オンプレミスかオフプレミスのハイブリッドおよび異種混在のクラウド環境全

体を管理できます。

SDDC インフラストラクチャを配置したら、それを拡張して、組織内外の IT リソースのコンシューマに、

Infrastructure as a Service (IaaS) と Platform as a Service (PaaS) を提供できます。IaaS と PaaS によって SDDC プラットフォームが完成し、機能拡張の可能性が広がります。IaaS と PaaS により、IT と開発者の業務のアジリティ

が増大します。

図 2-4. SDDC インフラストラクチャ構築のステージ

オーケストレーション仮想化 監視SDDC

インフラストラクチャの準備完了

vRealize Suite の概要

VMware, Inc. 15

vRealize Suite インフラストラクチャの仮想化および管理

さまざまな VMware 製品が vRealize Suite に組み込まれており、それによって vRealize Suite の基盤に必要となる

仮想化機能と管理機能が提供されます。データセンターの堅牢な基盤を確立するため、vCenter Server、ESXi、およ

びそのサポート コンポーネントをインストールして構成してください。

ハイブリッド クラウド展開

企業では、vRealize Suite を使用することで、プライベート クラウドのワークロードをパブリック クラウドに拡張

して、オンデマンドでセルフサービス式に、しかも柔軟にエンド ポイントをプロビジョニングしながら、vRealize Suite を装備したプライベート クラウドの同一の管理環境、信頼性、パフォーマンスを活用できます。

SDDC のクラウド管理レイヤーで vRealize Automation と vRealize Orchestrator を使用すると、仮想マシンとエ

ンド ポイントをプロビジョニングし、vSphere 環境を越えて vSphere をベースとしない環境に拡張できます。

vSphere をベースとしない、非 vSphere の環境は、プライベート データセンターまたはパブリック クラウドのサー

ビス プロバイダに作成できます。SDDC のサービス管理レイヤーでは、vSphere のエンド ポイントおよび vSphere をベースとしないエンドポイントを監視できます。vRealize Operations Manager と vRealize Log Insight はサー

ビス管理レイヤーの主要製品であり、企業ではこれによって仮想マシンを分析できるようになります。

ESXi と vCenter Server の設計上の考慮事項

SDDC の仮想化の設計上の決定では、導入について考慮し、ESXi と vCenter Server の仕様をサポートする必要があ

ります。

ESXi ホストの展開を計画するときは、次の設計上の決定を検討します。

ESXi

n VMware Capacity Planner などのツールを使用して既存のサーバのパフォーマンスと使用を分析します。

n VMware 互換性ガイドに記載されているサポート対象のサーバ プラットフォームを使用します。

n ハードウェアが ESXi を実行するための最小システム要件を満たしていることを確認します。

n 不統一をなくし、管理とサポートがしやすいインフラストラクチャを実現するためには、ESXi ホストの物理構成

を標準化します。

n ESXi ホストは手動で、または vSphere Auto Deploy などの自動インストール方法を使用して導入できます。有

効な方法の 1 つは、管理クラスタを手動で導入し、環境が大きくなるのに合わせて vSphere Auto Deploy を実

装することです。

vCenter Server

n vCenter Server は、Linux ベースの仮想アプライアンスとして、または 64 ビットの Windows 物理マシンまた

は仮想マシンに導入できます。

注： Windows 上の vCenter Server は最大 10,000 台のパワーオンされた仮想マシンをサポートするまで規模

を拡大できます。vCenter Server Appliance は事前構成されており、高速な展開を可能にしてオペレーティン

グ システムのライセンス コストを削減できる代替の選択肢となります。外部 Oracle データベースを使用する

場合、vCenter Server Appliance は最大 10,000 台の仮想マシンをサポートできます。

n vCenter Server 用に十分な仮想システム リソースを提供します。

vRealize Suite の概要

VMware, Inc. 16

n ユーザー インターフェイス用に vSphere Web Client と vSphere Client を環境に導入します。コマンドライ

ンとスクリプト管理用に vSphere Command Line Interface (vCLI) または vSphere PowerCLI を導入しま

す。vCLI と vSphere SDK for Perl は vSphere Management Assistant に含まれています。

ネットワークの設計に関する考慮事項

データセンターにおける仮想化とクラウド コンピューティングが進み、従来の 3 階層のネットワーク モデルに変化

が起きています。従来のコア集約型のアクセスモデルは、リーフ/スパイン型の設計に置き換えられています。

ネットワークは、組織内のさまざまなエンティティの多様なニーズを満たすように設計しなければなりません。これ

らのエンティティにはアプリケーション、サービス、ストレージ、管理者およびユーザーがあります。

n 必要に応じて、アクセス制御と分離を使用し、許容レベルのセキュリティを実現します。

n リーフ/スパイン型の設計を使用してネットワーク アーキテクチャを簡素化します。

n ホスト間で共通のポート グループ名を構成し、仮想マシンの移行とフェイルオーバーをサポートします。

n 主要なサービスのネットワークをそれぞれ分離して、セキュリティとパフォーマンスを向上します。

データセンターでは、しばしばネットワークの分離がベスト プラクティスとして推奨されます。vRealize Suite 環境

では、複数の物理クラスタにまたがっていくつかの主要な VLAN が構成されている場合があります。

次の図では、すべてのホストは ESXi 管理、 vSphere vMotion、VXLAN および NFS VLAN の一部です。管理ホスト

は外部 VLAN にも接続され、各 Edge ホストはそのお客様固有の VLAN に接続されています。

この場合、接続には vSphere Distributed Switch によって提供される Link Aggregation Control Protocol (LACP) が使用され、LACP ポート チャネルに接続されている ESXi ホスト上の物理 NIC のバンド幅を集約します。

分散スイッチ上に複数のリンク集約グループ (LAG) を作成することができます。LAG には複数のポートが含まれ、

物理 NIC をポートに接続します。LAG ポートは冗長性を得るために LAG 内でチーミングされ、ネットワーク トラフ

ィックのロード バランシングは、LACP アルゴリズムを使用してポート間で行われます。

vSphere Distributed Switch の LACP サポートを参照してください。

vRealize Suite の概要

VMware, Inc. 17

図 2-5. 異なる VLAN に接続された異なる種類の ESXi ホスト

VLAN ESXi 管理

VLAN vSphere vMotion

VLAN VTEP (VXLAN)

お客様 VLAN 1（Edge ホスト）

お客様 VLAN 2（Edge ホスト）

vSphere Distributed Switch

LAG 1-1LAG 1LAG 1-0

ESXiホスト 1

vmnic1vmnic0

LACP ポートチャネル

物理スイッチ

VLAN NFS

VLAN 外部管理（管理ホスト）

ESXiホスト 2

vmnic1vmnic0

LACP ポートチャネル

共有ストレージの設計上の考慮事項

ストレージを適切に設計することは、仮想データセンターが十分にその機能を発揮するための基本です。

n アプリケーション、サービス、管理者およびユーザーの多様なニーズを満たすためにはストレージの設計を最適

化する必要があります。

n パフォーマンス、容量、可用性の特性はストレージの階層によって異なります。

n すべてのアプリケーションが高価で高パフォーマンス、高可用性のストレージを必要とするわけではないため、

異なるストレージ階層を設計することは費用対効果に優れています。

n ファイバ チャネル、NFS および iSCSI は仮想マシンのニーズをサポートするための十分に完成した実行可能なオ

プションです。

以下の図は、さまざまな種類のホストが異なるストレージ アレイをどのように活用しているかを示したものです。管

理クラスタのホストは、管理、監視およびポータル用のストレージを必要とします。Edge クラスタのホストは、お

客様がアクセスできるストレージを必要とします。ペイロード クラスタのホストはお客様の固有のストレージにア

クセスします。ペイロード クラスタのホストごとにアクセスするストレージは異なります。

ストレージ管理者はすべてのストレージを管理することができますが、ストレージ管理者にはお客様のデータへのア

クセス権がありません。

vRealize Suite の概要

VMware, Inc. 18

図 2-6. さまざまなホストをサポートするストレージ

仮想

アプライアンス

仮想

アプライアンス

仮想

アプライアンス

仮想

アプライアンス

仮想

アプライアンス

仮想

アプライアンス APPOS

APPOS

APPOS

テナント n

管理クラスタ Edge クラスタ コンピューティング クラスタ

テナント 1

ESXi ホスト ESXi ホスト ESXi ホスト

共有データストア

管理 監視 ポータル

共有データストア

Edgeグループ 1

Edgeグループ 2

Edgeグループ N

共有データストア

ペイロードSLA 1

ペイロードSLA 2

ペイロードSLA N

ソフトウェア定義によるストレージ

ポリシー ベースのストレージ管理仮想化データ サービス

ハイパーバイザー ストレージ抽象化

SAN、NAS、または DAS（サードパーティまたは VMware Virtual SAN）

物理ディスク

SSD FC15K FC10K SATA SSD FC15K FC10K SATA

VMDK

スワップ ファイル + ログ

サンプル LUN

Tier0 Tier1 Tier2 Tier3 Tier0 Tier1 Tier2 Tier3

ストレージ管理者

vRealize Suite コア インフラストラクチャの管理

SDDC の管理には、数多くの頻繁に繰り返し実行される操作が含まれています。vRealize Suite では、vRealize Orchestrator を使用してワークフロー内の複雑なプロセスを管理することができます。

クラウド管理層では、手動のプロセスを自動化するマクロのようなワークフローを構築することができます。オーケ

ストレーションでは、繰り返し可能な操作を実行できます。

クラウド管理層の内部では、ワークフローを自動的にまたは手動でトリガすることができます。

n vRealize Automation は vRealize Orchestrator ワークフローをトリガすることができます。

n また、ワークフローをサービス カタログで公開し、それらを手動でトリガすることができます。

vRealize Suite の概要

VMware, Inc. 19

プロセスの初期段階でオーケストレーション エンジンを確立することはすべてのレベルの顧客成熟度にとってメリ

ットがあり、残りのソリューションを構築するための基盤となります。スケール要件に応じて、環境内の各 vCenter Server システムに対して少なくとも 1 つの vCenter Server インスタンスを展開します。

オーケストレーション レイヤには次の主要な要素が含まれています。

n vRealize Orchestrator

n vRealize Orchestrator プラグイン

図 2-7. vRealize Suite オーケストレーション レイヤの設計

vRO プラグイン

vRealize Orchestrator Appliance

組み込みデータベース

AD、LDAP または vCenter Single Sign-On

有効なプラグイン

vCenter Server

マルチノード

AD

認証

vRealize Orchestrator の構成

vRealize Orchestrator の設計

表 2-1. vRealize Suite オーケストレーション レイヤのコンポーネント

コンポーネント 説明

vRealize Orchestrator アプライアンス vRealize Orchestrator は仮想アプライアンスとして展開することがで

きますより小規模のデプロイに対するアプローチとしては、HA ではなく

スタンドアロン モードで実行する vRealize Orchestrator アプライアン

スをお勧めします。

認証 Active Directory または vCenter Single Sign-On によって行います。

vRealize Orchestrator 構成インターフェイス アプライアンス データベース、TLS 証明書、ライセンスなどを構成する

には Web ベースの構成インターフェイスを使用します。

vRealize Orchestrator Designer インターフェイス ワークフローを作成してカスタマイズするには Web ベースの　

Designer インターフェイスを使用します。

vRealize Suite の概要

VMware, Inc. 20

表 2-1. vRealize Suite オーケストレーション レイヤのコンポーネント （続き）

コンポーネント 説明

vCenter Server プラグイン 複数の vCenter Server インスタンスを管理するには vRealize Orchestrator プラグインを使用します。プラグインは、vCenter Server の運用を自動化する標準ワークフローのライブラリを提供します。

マルチノード プラグイン vRealize Orchestrator マルチノード プラグインを使用して vRealize Orchestrator およびワークフローの実行をリモートで管理します。

vRealize Suite のコア インフラストラクチャの監視

監視機能は SDDC の必須要素です。監視要素により、関連インフラストラクチャ コンポーネントのパフォーマンス

と容量を管理する機能が提供され、要件、仕様、管理、関係を満たすことができるようになります。

vRealize Suite の監視製品にはいくつかの VMware 製品が含まれます。

表 2-2. vRealize Suite の監視製品

監視製品 説明

vRealize Operations Manager インフラストラクチャのパフォーマンス、キャパシティ、健全性に関する

情報を提供します。仮想アプライアンスとして配布され、ESXi ホストに

導入できます。仮想アプライアンスを構成し、vCenter Server システム

に登録します。vRealize Operations Manager ドキュメントを参照し

てください。

vRealize Log Insight ログ データを収集して分析することによって、システム、サービス、ア

プリケーションに関する問題にリアルタイムで回答を提供し、重要な洞察

を導きます。vRealize Log Insight ドキュメントを参照してください。

すべての監視製品を導入しても、一部の製品のみを導入しても、ソリューションの整合性を損なうことはありません。

インフラストラクチャ サービスの提供

Infrastructure as a service (IaaS) を提供できるということは、従来のデータセンター運用からクラウドへの技術的

および組織的変革が行われたことを意味します。プライベート、パブリック、またはハイブリッド クラウド インフ

ラストラクチャ全体で仮想マシンとサービスをモデル化してプロビジョニングできます。

SDDC では、プロバイダ グループまたは組織がインフラストラクチャおよびアプリケーション サービスの形式でリ

ソースを分離して抽象化し、テナント グループまたは組織で使用可能にできます。

クラウド管理レイヤーは、インフラストラクチャ サービスをプロビジョニングするポリシーの使用によって管理オー

バーヘッドを削減する、セルフサービス ユーザー ポータルを提供します。管理者は、ポリシーを使用して詳細かつ

柔軟な方法でサービスの消費を制御します。各サービスには承認が必要な場合があります。

いくつかのコンポーネントを使用して、インフラストラクチャ サービスを構築できます。

vRealize Suite の概要

VMware, Inc. 21

表 2-3. インフラストラクチャ サービス コンポーネント

インフラストラクチャ サービス セクション 設計コンポーネント

vRealize Automation 仮想アプライアンス n vRealize Automation ポータル Web サーバまたはアプリケーシ

ョン サーバ

n vRealize Automation vPostgreSQL データベース

vRealize Automation IaaS n vRealize Automation IaaS Web サーバ

n vRealize Automation IaaS Manager Service

Distributed Execution Manager DEM Orchestrator インスタンスと DEM ワーカー インスタンスで構成

される vRealize Automation Distributed Execution Manager

統合 vRealize Automation エージェント マシン

コスト管理 vRealize Business for Cloud

プロビジョニング インフラストラクチャ n vSphere 環境

n vRealize Orchestrator 環境

n その他のサポート対象の物理、仮想、またはクラウド環境

サポート対象インフラストラクチャ n Microsoft SQL データベース環境

n LDAP または Active Directory 環境

n SMTP および電子メール環境

インフラストラクチャ サービスは複数のステージで導入されます。

図 2-8. IaaS 導入のステージ

セルフサービス ポータル

インフラストラクチャ コンポーネント

サービスおよびテナント

コスト管理

インフラストラクチャ サービスの準備完了

主要な IaaS の概念の詳細な説明については、IaaS（サービスとしてのインフラストラクチャ） についての vRealize Automation の情報を参照してください。

セルフサービス ポータル vRealize Automation は、許可された管理者、開発者、またはビジネス ユーザー

が新しい IT サービスを要求できる安全なポータルを提供します。

インフラストラクチャ コン

ポーネント

vRealize Automation を導入するには、vSphere や vCloud Air などのいくつかの

VMware 製品を構成し、物理マシン エンドポイント、ファブリック グループ、ブ

ループリントなどの vRealize Automation コンポーネントを構成します。

サービスおよびテナント サービス カタログは、IT サービスを利用するための統合セルフサービス ポータルで

す。ユーザーはカタログを参照してアイテムを要求し、要求を追跡して、プロビジ

ョニングされたアイテムを管理できます。

コスト管理 vRealize Automation と統合する vRealize Business for Cloud などのソリュー

ションでは、コストの調査と管理がサポートされています。

vRealize Suite の概要

VMware, Inc. 22

Platform as a Service の提供

Platform as a Service (PaaS) を使用して、プライベート、パブリック、およびハイブリッド クラウド インフラスト

ラクチャ全体でアプリケーションをモデル化してプロビジョニングします。

PaaS は、コンピューティング プラットフォームとソリューション スタックをサービスとして提供する、クラウド コンピューティング サービスの一種です。PaaS は Software as a Service (SaaS) および Infrastructure as a service (IaaS) とともに、アプリケーションやサービスを作成するためにプロバイダが提供するツールとライブラリを使用で

きる、クラウド コンピューティングのサービス モデルとなっています。ソフトウェア展開と構成設定を制御します。

プロバイダは、アプリケーションをホストするために必要なネットワーク、サーバ、ストレージ、その他のサービス

を提供します。

アプリケーション プロビジョニングの自動化

PaaS の重要な側面は、アプリケーション プロビジョニングの自動化機能です。vRealize Automation はモデルベー

スのアプリケーション プロビジョニング ソリューションで、クラウド インフラストラクチャでアプリケーション展

開トポロジを簡単に作成および標準化できるようにします。アプリケーション アーキテクトはアプリケーションの

ドラッグ アンド ドロップ機能を使用して、「アプリケーション ブループリント」と呼ばれるアプリケーション展開ト

ポロジを作成します。アプリケーション ブループリントによってアプリケーションの構造が定義され、標準化された

アプリケーション インフラストラクチャ コンポーネントが使用できるようになります。またアプリケーション ブル

ープリントには、カスタムおよびパッケージ化されたエンタープライズ アプリケーションのインストール依存関係と

デフォルト設定が含まれます。標準の論理テンプレート、アプリケーション インフラストラクチャ サービス、コン

ポーネント、およびスクリプトのあらかじめ用意された拡張可能なカタログを使用して、アプリケーション ブループ

リントをモデル化できます。アプリケーション ブループリントは、vRealize Automation などの IaaS クラウドや、

Amazon EC2 などのパブリック クラウド間で移行可能な論理展開トポロジです。

基盤となるクラウド インフラストラクチャが必要なコンピューティング、ネットワーク、ストレージの要件を満たし

ていることを前提として、vRealize Automation を使用してアプリケーションおよびサービス構造を指定します。

vRealize Automation ブループリントは、VMware vSphere に基づく任意のプライベートまたはパブリック クラウ

ドに展開できます。このアプリケーション プロビジョニング モデルによって、開発者とアプリケーション管理者は

インフラストラクチャ、OS、およびミドルウェアの構成に取り組む必要がなくなり、会社はアプリケーションによる

ビジネス価値の提供に専念できます。

エンタープライズ ユーザーは、動的なクラウド環境内で複雑なアプリケーションを標準化、展開、構成、更新、およ

びスケール調整できます。このようなアプリケーションは、単純な Web アプリケーションから複雑なカスタム アプ

リケーションやパッケージ化されたアプリケーションまで、多岐にわたります。vRealize Automation Application Services は、標準コンポーネントまたはサービスのカタログを使用して、ハイブリッド クラウド環境で、多層エン

タープライズ アプリケーションの展開の更新ライフ サイクルを自動化および管理します。

アプリケーションのパフォーマンスの監視

監視によって、アプリケーションに関連するパフォーマンスを管理できます。

vRealize Suite の概要

VMware, Inc. 23

事前ビルド済みのアプリケーション コンポーネント

VMware Cloud Management Marketplace には、ダウンロードして独自のアプリケーション サービスの開発に使

用できるブループリント、サービス、スクリプト、およびプラグインが用意されています。主要なミドルウェア、ネ

ットワーク、セキュリティ、およびアプリケーション ベンダーは、再利用可能で柔軟な構成を使用する事前ビルド済

みのコンポーネントを提供します。任意の多層アプリケーション プロビジョニング プランにこの構成を挿入できま

す。

vRealize Suite セキュリティの考慮事項vRealize Suite の各製品はセキュリティの要件に従う必要があります。各製品に対する認証および承認を考慮し、証

明書が会社の要件を満たしていることを確認し、ネットワークの分離を実施する必要があります。

製品ファミリまたは個々の製品のドキュメントは、環境のセキュリティを確保するのに役立ちます。このドキュメン

トでは、特に製品のスイートのセキュリティを確保するための追加手順に重点を置きます。

表 2-4. vRealize Suite 製品のセキュリティ ドキュメント

製品 ドキュメント

vCenter ServerESXi 証明書管理、ESXi のセキュリティ、vCenter Server のセキュリティ、お

よび認証と承認を含むさまざまなトピックについての詳細は vSphere のセキュリティドキュメントを参照してください。

ESXi のセキュリティ情報については、VMware ハイパーバイザーのセキ

ュリティ のホワイト ペーパーを参照してください。

vSphere vSphere 製品については、vSphere セキュリティ強化ガイド を参照して

ください。

vRealize Automation および関連製品。 証明書、パスフレーズ、ユーザー セキュリティ、セキュリティ グループ

の使用などについての詳細は、vRealize Automation ドキュメントのイ

ンストールの準備を参照してください。

vRealize Automation 環境のセキュリティ構成の最適化については、

vRealize Automation のセキュリティ構成ガイドを参照してください。

vRealize Suite Lifecycle Manager vRealize Suite Lifecycle Manager 環境のセキュリティ構成の最適化に

ついては、vRealize Suite Lifecycle Manager セキュリティ強化ガイド

を参照してください。

vRealize Suite の認証と権限

vCenter Single Sign-On での認証により、サポートされる ID ソースのユーザーのみが vRealize Suite にログイン

できるようになります。対応する権限のあるユーザーのみが、情報の表示やタスクの実行が可能です。権限は、サー

ビスとユーザーの両方に適用されます。

vCenter Single Sign-On での認証

vCenter Single Sign-On により、管理インフラストラクチャで認証がサポートされます。vCenter Single Sign-On に認証できるユーザーのみが、インフラストラクチャ コンポーネントを表示して管理できます。vCenter Single Sign-On には、Active Directory や OpenLDAP などの ID ソースを追加できます。

vRealize Suite の概要

VMware, Inc. 24

vCenter Single Sign-On の概要

vCenter Single Sign-On は、ユーザーとソリューション ユーザーの認証ブローカーおよびセキュリティ トークン交

換インフラストラクチャであり、VMware サービスに含まれています。ユーザーまたはソリューション ユーザーが

vCenter Single Sign-On の認証を行うと、そのユーザーは SAML トークンを受け取ります。その後、ユーザーは

SAML トークンを使用して vCenter Server サービスの認証を行うことができます。ユーザーは情報を表示して、権

限がある操作を実行できるようになります。

vCenter Single Sign-On を使用すると、vRealize Suite の製品は安全なトークン交換メカニズムによって相互に通

信します。各製品が、Microsoft Active Directory のようなディレクトリ サービスでユーザーを個別に認証する必要

はありません。インストール中またはアップグレード中には、vCenter Single Sign-On によって vsphere.local などの内部セキュリティ ドメインが構築され、vSphere ソリューションと製品はここに登録されます。企業固有の認

証情報のためにこの内部セキュリティ ドメインを使用する代わりに、Active Directory Domain など、1 つ以上の

ID ソースを vCenter Single Sign-On に追加できます。

vCenter Single Sign-On の構成

vCenter Single Sign-On は vSphere Web Client から構成できます。

vSphere 6.0 からは、vCenter Single Sign-On が Platform Services Controller の一部になります。Platform Services Controller には共有サービスが含まれ、vCenter Server と vCenter Server のコンポーネントがサポート

されます。vCenter Single Sign-On を管理するには、環境に関連付けられている Platform Services Controller に接続します。構成の背景情報と詳細については、vCenter Single Sign-On による vSphere 認証 を参照してくださ

い。

vRealize Suite での権限

vRealize Suite 展開のどのコンポーネントへのアクセスや変更がどのユーザーまたはプロセスに対して許可されるか

は、権限によって決まります。vRealize Suite 内の製品によって扱われる権限は、それぞれ精度のレベルが異なりま

す。

また、どのタイプのユーザーにアクセスを許可するかも、製品や製品コンポーネントごとに、異なるタイプの管理者

が責任を負います。

vCenter Server 権限

vCenter Server 権限モデルでは、管理者が vCenter Server オブジェクト階層内の特定のオブジェクトにおけるロー

ルをユーザーまたはグループに割り当てることができます。ロールとは権限のセットです。vCenter Server には事

前定義済みのロールがありますが、カスタム ロールを作成することもできます。

多くの場合、ソース オブジェクトとターゲット オブジェクトの両方に対する権限を定義する必要があります。たと

えば、仮想マシンを移動する場合、その仮想マシンに対するいくつかの権限が必要ですが、移動先データセンターに

対する権限も必要です。

また、グローバル権限では、vCenter オブジェクト階層内のすべてのオブジェクトに対する権限を特定のユーザーに

付与できます。グローバル権限は、特にオブジェクト階層の下方に対し伝達する場合は慎重に使用してください。

vCenter Server 権限に関する詳細および説明ビデオについては、『vSphere セキュリティ』ドキュメントを参照して

ください。

vRealize Suite の概要

VMware, Inc. 25

vRealize Automation 認証

vRealize Automation では事前定義済みのロールを使用して、タスクを実行可能なユーザーまたはグループを決定で

きます。vCenter Server とは異なり、カスタム ロールは定義できませんが、豊富な事前定義済みロール セットを使

用できます。

認証と権限は、次のように処理されます。

1 システム管理者は、シングル サインオンと基本的なテナント セットアップの初期構成を実行します。その際、

各テナントに少なくとも 1 つの ID ストアとテナント管理者 1 人を指定します。

2 その後に、テナント管理者は追加の ID ストアを構成し、ID ストアからユーザーまたはグループにロールを割り

当てることができます。

テナント管理者は、各自のテナント内にカスタム グループを作成し、ID ストアで定義されているユーザーやグ

ループをカスタム グループに追加することもできます。ID ストア グループおよびユーザーなどのカスタム グループにロールを割り当てることができます。

3 その後管理者は、自分自身が属するロールに応じてユーザーとグループにロールを割り当てることができます。

n システム管理者、IaaS 管理者、ファブリック管理者など、システム全体のロール セットが事前に定義され

ています。

n テナント管理者、アプリケーション カタログ管理者など、個別のテナント ロール セットも事前に定義され

ています。

vRealize Automation のドキュメントを参照してください。

統合 ID 管理

統合 ID 管理により、1 つのドメインの電子 ID と属性を異なるドメインで受け入れ、これらを使用してリソースにア

クセスすることが可能です。vCenter Single Sign-On と VMware Identity Manager を使用し、vRealize Automation、vRealize Operations Manager、vSphere Web Client 間の統合 ID 管理を有効にできます。

統合 ID 環境では、統合 ID システムの操作方法に基づいて、ユーザーを個人設定と呼ばれるカテゴリに分類します。

ユーザーはシステムを使用してサービスを受け取ります。管理者はシステム間のフェデレーションを構成して管理し

ます。開発者はユーザーによって消費されるサービスを作成して拡張します。次の表に、これらの個人設定が統合 ID 管理を使用するメリットを示します。

表 2-5. 個人設定のメリット

ユーザーのタイプ 統合 ID のメリット

ユーザー n 複数のアプリケーションに使用できる便利な Single Sign-On

n 少ないパスワードで管理可能

n セキュリティの強化

システム管理者 n アプリケーションの資格とアクセスの管理性が向上

n コンテキストとポリシーに基づいた認証

開発者 n シンプルな統合

n マルチテナント、ユーザーおよびグループの管理、拡張可能な認証、

少ない労力での認証の委任などのメリット

vRealize Suite の概要

VMware, Inc. 26

VMware Identity Manager と vCenter Single Sign-On 間のフェデレーションは、両者間の SAML 接続を作成する

ことでセットアップできます。vCenter Single Sign-On は ID プロバイダとして機能し、VMware Identity Manager はサービス プロバイダとして機能します。ID プロバイダは電子 ID を提供します。サービス プロバイダ

は電子 ID を評価して受け入れた後でリソースへのアクセスを許可します。

vCenter Single Sign-On によって認証されるユーザーの場合、同じアカウントが VMware Identity Manager と

vCenter Single Sign-On に存在している必要があります。少なくとも、ユーザーの userPrinicpalName が両方で

一致している必要があります。その他の属性は、SAML サブジェクトの識別に使用されないため、異なっても構いま

せん。

admin@vsphere.local など、vCenter Single Sign-On のローカル ユーザーの場合、少なくともユーザーの

userPrinicpalName が一致する VMware Identity Manager に対応するアカウントを作成する必要があります。対

応するアカウントは、手動で作成するか、または VMware Identity Manager のローカル ユーザー作成 API を使用

したスクリプトで作成する必要があります。

SSO2 と vIDM 間の SAML をセットアップするには、次のタスクを実行します。

1 SAML トークンを vCenter Single Sign-On から VMware Identity Manager にインポートしてから VMware Identity Manager のデフォルトの認証を更新します。

2 VMware Identity Manager で、vCenter Single Sign-On をサードパーティ ID プロバイダとして VMware Identity Manager で構成し、VMware Identity Manager のデフォルトの認証を更新します。

3 vCenter Single Sign-On で、VMware Identity Managersp.xml ファイルをインポートして VMware

Identity Manager をサービス プロバイダとして構成します。

次の製品ドキュメントを参照してください。

n vRealize Automation 用の ID プロバイダとしての SSO2 の構成の詳細については、VMware vCloud Automation Center 6.1 での VMware vCenter SSO 5.5 U2 の使用 を参照してください。

n vRealize Automation VMware Identity Manager ドキュメントについては、VMware Identity Manager の

Single Sign-On パスワードの更新 を参照してください。

n ディレクトリ管理と SSO2 間のフェデレーションの構成方法の詳細については、ディレクトリ管理と SSO2 間の

SAML フェデレーションの設定 を参照してください。

n vRealize Operations Manager SSO ドキュメントについては、vRealize Operations Manager の Single Sign-On ソースの設定 を参照してください。

TLS およびデータ保護

さまざまな vRealize Suite 製品で、製品間のセッション情報の暗号化に TLS が使用されています。デフォルトでは、

Platform Services Controller の一部である VMware Certificate Authority (VMCA) が一部の製品とサービスに証

明書を提供します。その他のコンポーネントは、自己署名証明書によってプロビジョニングされます。

デフォルトの証明書を独自のエンタープライズ証明書または認証局が署名した証明書に置き換える場合、コンポーネ

ントによってプロセスが異なります。

vRealize Suite の概要

VMware, Inc. 27

証明書の検証はデフォルトで有効になっており、TLS 証明書がネットワーク トラフィックの暗号化に使用されます。

vSphere 6.0 以降、VMCA は ESXi ホストと vCenter Server システムにインストール プロセスの一部として証明書

を割り当てます。これらの証明書を置き換えて VMCA を中間認証局として使用したり、独自の環境でカスタム証明

書を使用したりできます。vSphere バージョン 5.5 以前では自己署名証明書が使用され、必要に応じてこれらの証明

書を使用したり置き換えたりできます。

vSphere 6.0 の証明書は、vSphere Certificate Manager ユーティリティまたは証明書管理 CLI を使用して置き換え

ることができます。vSphere 5.5 以前の証明書は、Certificate Automation ツールを使用して置き換えることができ

ます。

VMCA を使用する製品

いくつかの VMware 製品は、インストール中に VMCA から証明書を受け取ります。それらの製品にはいくつかのオ

プションがあります。

n 証明書を内部展開用にそのまま残すか、外部に対する証明書は置き換えて内部に対する VMCA 署名付き証明書

はそのまま残すことを検討する。

n VMCA を中間証明書にする。その後、完全なチェーンを使用して署名する。

n VMCA 署名付き証明書をカスタム証明書に置き換える。

vSphere セキュリティの考慮事項を参照してください。

自己署名証明書を使用する製品

自己署名証明書をそのまま使用する製品を使用できます。はじめて使用するときに、自己署名証明書を承諾するか拒

否するかのプロンプトがブラウザに表示されます。ユーザーは証明書を承諾または拒否する前に、リンクをクリック

して証明書の詳細を表示できます。ブラウザは承諾された証明書をローカルに保存し、その後の使用時には警告なし

に承諾します。必要に応じて、自己署名証明書をエンタープライズ証明書または CA 書名付き証明書に置き換えるこ

とで、この承諾手順を省略できます。自己署名証明書を置き換える方法は、製品ドキュメントに記載されています。

表 2-6. 自己署名証明書の置き換え

製品 ドキュメント

vSphere Replication vSphere Replication アプライアンスの SSL 証明書の変更を参照してく

ださい。

vRealize Automation vRealize Automation 証明書の更新を参照してください。

vRealize Log Insight カスタム SSL 証明書のインストールを参照してください。

vRealize Orchestrator SSL 証明書の変更を参照してください。

vRealize Operations Manager vRealize Operations Manager へのカスタム証明書の追加を参照して

ください。

vRealize Business for Cloud Standard vRealize Business for Cloud の SSL 証明書の変更または置き換えを参

照してください。

vRealize Suite の概要

VMware, Inc. 28

物理レイヤーのセキュリティ保護

物理レイヤーのセキュリティ保護には、ハイパーバイザーをセキュリティで保護および強化すること、セキュリティ

が最大レベルの物理ネットワークを設定すること、ストレージ ソリューションをセキュリティ保護することが含まれ

ます。

標準スイッチ ポートのセキュリティ強化

物理ネットワーク アダプタと同様、仮想ネットワーク アダプタは、異なるマシンから発信されたように見えるフレ

ームを送信したり、別のマシンになりすましたりすることができます。また、物理ネットワーク アダプタと同様に、

仮想ネットワーク アダプタは、ほかのマシンを送信先にしたフレームを受信するように構成できます。

標準スイッチを作成する場合、ポート グループが追加されて、スイッチに接続される仮想マシンおよびストレージ システムに強制的にポリシーを構成します。仮想ポートは vSphere Web Client または vSphere Client を介して作成

されます。

ポートまたは標準ポート グループを標準スイッチに追加する作業の一部として、vSphere Client は、ポートのセキ

ュリティ プロファイルを構成します。ホストはその仮想マシンがネットワーク上で他のマシンになりすますことを

防止できます。なりすましを行うゲスト OS は、なりすましが阻止されたことを検知しません。

セキュリティ プロファイルは、仮想マシンでのなりすましや傍受攻撃に対する保護をホストがどの程度強化するかを

決定します。セキュリティ プロファイルの設定を正しく使用するには、仮想ネットワーク アダプタが転送を制御す

る仕組みや、このレベルでの攻撃方法の基礎を理解する必要があります。

各仮想ネットワーク アダプタには、アダプタが作成されるときに、MAC アドレスが割り当てられます。このアドレ

スは、初期 MAC アドレスと呼ばれます。初期 MAC アドレスは、ゲスト OS の外部から再構成できますが、ゲスト

OS がそれを変更することはできません。また、各アダプタには有効な MAC アドレスがあります。これは、送信先

MAC アドレスが有効な MAC アドレスとは異なる受信ネットワーク トラフィックを遮断します。ゲスト OS は、有

効な MAC アドレスの設定に関与し、通常、有効な MAC アドレスを初期 MAC アドレスに一致させます。

パケットを送信する場合、オペレーティング システムは、通常、そのネットワーク アダプタの有効な MAC アドレス

をイーサネット フレームの送信元 MAC アドレス フィールドに置きます。また、受信側ネットワーク アダプタの

MAC アドレスは、送信先 MAC アドレス フィールドに置きます。受信側アダプタはパケットの送信先 MAC アドレ

スが、そのアダプタの有効な MAC アドレスに一致する場合だけパケットを受け付けます。

作成時、ネットワーク アダプタの有効な MAC アドレスおよび初期 MAC アドレスは同じです。仮想マシンのオペレ

ーティング システムは、有効な MAC アドレスの値をいつでも変更できます。オペレーティング システムが有効な

MAC アドレスを変更すると、そのネットワーク アダプタは、新規 MAC アドレスに送信されるネットワーク トラフ

ィックを受信します。オペレーティング システムは、送信元 MAC アドレスになりすましているフレームをいつでも

送信できます。つまり、オペレーティング システムは、受信側ネットワークにより許可されているネットワーク アダプタになりすますことで、ネットワークのデバイスに対して、悪意のある攻撃を実行する可能性があります。

ホストで標準スイッチ セキュリティ プロファイルを使用すると、3 つのオプションを設定することでこのタイプの攻

撃から保護できます。ポートのデフォルト設定のいずれかを変更する場合、vSphere Client で標準スイッチ設定を編

集して、セキュリティ プロファイルを変更する必要があります。

vRealize Suite の概要

VMware, Inc. 29

iSCSI ストレージのセキュリティ保護

ホスト用に構成するストレージには、iSCSI を使用する 1 つ以上のストレージ エリア ネットワーク (SAN) が含まれ

る場合があります。ホスト上に iSCSI を構成する場合、管理者はいくつかの対策を講じて、セキュリティ リスクを最

小にできます。

iSCSI とは、SCSI デバイスに直接接続するのではなく、ネットワーク ポート経由で TCP/IP を使用して、SCSI デバイ

スにアクセスしてデータ レコードを交換する方法です。iSCSI トランザクションでは、SCSI データのブロックが

iSCSI レコードでカプセル化され、要求側デバイスまたはユーザーに転送されます。

望ましくない侵入者から iSCSI デバイスを保護するために、ホストがターゲット LUN のデータにアクセスしようと

したときに、ホスト（イニシエータ）を iSCSI デバイス（ターゲット）で認証するよう要求する方法があります。認

証によって、イニシエータがターゲットへのアクセス権を持っていることを立証します。

ESXi および iSCSI は、CHAP（チャレンジ ハンドシェイク認証プロトコル）をサポートします。CHAP は、ネットワ

ーク上のターゲットにアクセスするイニシエータの正当性を検証します。vSphere Client または vSphere Web Client を使用して、認証が実行されているかを判別し、認証方法を構成します。iSCSI に対する CHAP の構成につい

ての詳細は、vSphere のドキュメントを参照してください。

ESXi 管理インターフェイスのセキュリティ保護

ESXi 管理インターフェイスのセキュリティは、不正侵入や悪用から保護するために極めて重要です。特定の方法でホ

ストのセキュリティが危険にさらされる場合、ホストと通信する仮想マシンも危険にさらされる恐れがあります。管

理インターフェイスを介した攻撃のリスクを最小にするために、ESXi は標準機能のファイアウォールで保護されてい

ます。

VMware では、不正侵入や不正使用からホストを保護するために、パラメータ、設定、およびアクティビティに制約

が設けられています。制約は、実際の構成上の必要性に応じて緩和することができますが、その場合は、十分に対策

をとってネットワーク全体とホストに接続するデバイスを保護する必要があります。

ホストのセキュリティと管理を評価する際には、次の推奨事項を考慮してください。

n セキュリティを強化するためには、ユーザーからの管理インターフェイスへのアクセスを制限し、パスワード設

定のようなセキュリティ ポリシーを実施します。

n ESXi Shell にログインしてアクセスする権限は信頼できるユーザーのみに付与してください。ESXi Shell には、

ホストの特定の部分に対するアクセス権があります。

n 可能であれば、ウイルス チェッカー、仮想マシンのバックアップなどの重要な処理、サービス、およびエージェ

ントのみを実行します。

n 可能な場合は、root ユーザーとしてコマンドライン インターフェイスから作業せずに vSphere Web Client、またはサードパーティ製のネットワーク管理ツールを使用して ESXi ホストを管理してください。vSphere Web Client を使用する場合は、常に vCenter Server システムを介して ESXi ホストに接続します。

ホストは、いくつかのサードパーティ製のパッケージを実行して、作業者が実行する必要のある管理インターフェイ

スやタスクをサポートします。VMware 製品では、VMware ソース以外からのパッケージのアップグレードをサポ

ートしていません。別のソースからダウンロードしたパッケージやパッチを使用すると、管理インターフェイスのセ

キュリティや機能が低下する場合があります。セキュリティに関する注意事項については、サードパーティ ベンダー

のサイトや当社のナレッジベースを定期的に確認してください。

vRealize Suite の概要

VMware, Inc. 30

ファイアウォールを実装するだけでなく、ほかの方法も使用して ESXi ホストのリスクを軽減することができます。

n ホストを管理するためのアクセスに特に必要でないポートがすべて閉じられていることを確認します。追加のサ

ービスが必要な場合、ポートを特に開いておく必要があります。

n デフォルトの証明書を置換し、強度の低い暗号化を有効にしないでください。デフォルトでは、強度の低い暗号

化は無効になっており、クライアントからのすべての通信は TLS で保護されます。チャネルの保護に使用する的

確なアルゴリズムは、TLS ハンドシェイクによって異なります。ESXi で作成されたデフォルトの証明書は、署名

アルゴリズムとして、RSA 暗号化による SHA-1 を使用します。

n セキュリティ パッチをインストールします。VMware は、ESXi のセキュリティに影響する恐れのあるすべての

セキュリティ警告を監視し、必要に応じてセキュリティ パッチを発行します。

n FTP や Telnet などのセキュリティ保護されていないサービスはインストールされません。これらのサービス用

のポートは閉じられています。SSH や SFTP など、よりセキュアなサービスが簡単に使用できるため、これらの

安全性の高いサービスを選択し、セキュリティ保護されていないサービスの使用は避けるようにしてください。

セキュリティ保護されていないサービスを使用する必要がある場合は、ESXi ホストに対する十分な保護を実装し

てから対応するポートを開きます。

ESXi ホストはロックダウン モードにすることができます。ロックダウン モードを有効にした場合、ホストは

vCenter Server からのみ管理できるようになります。vpxuser 以外のユーザーには認証権限がないため、直接ホス

トへ接続しても拒否されます。

vCenter Server システムのセキュリティ保護

vCenter Server のセキュリティ保護には、vCenter Server が実行されているマシンのセキュリティの確保、権限お

よびロールの割り当てのベスト プラクティス、および vCenter Server に接続するクライアントの整合性の確認が含

まれます。

システムのセキュリティを強化するには、vCenter Server 管理者権限を厳格に管理します。

n vCenter Server への完全な管理者権限はローカルの Windows 管理者アカウントから削除し、特殊用途のロー

カル vCenter Server 管理者アカウントに付与してください。完全な vSphere 管理者権限は、権限を必要とする

管理者にのみ付与します。メンバーシップが厳格に管理されていないグループには、管理者権限を付与しないよ

うにします。

n ユーザーには vCenter Server システムへの直接ログインは許可しないでください。実行すべき正当なタスクを

持つユーザーのみにアクセスを許可し、それらのユーザーのアクションが監視されていることを確認します。

n vCenter Server のインストールには、Windows アカウントではなくサービス アカウントを使用します。

vCenter Server を実行する場合はサービス アカウントまたは Windows アカウントを使用することができま

す。サービス アカウントを使用すると SQL Server に Windows 認証を使用でき、セキュリティを高めることが

できます。サービス アカウントは、ローカル マシンの管理者である必要があります。

n vCenter Server を再起動するときは、権限の再割り当てを確認します。サーバのルート フォルダで管理者ロー

ルを割り当てられているユーザーまたはユーザー グループが有効なユーザーまたはグループとして確認されな

い場合、その管理者権限は削除され、ローカルの Windows 管理者グループに割り当てられます。

vCenter Server データベース ユーザーには最小限の権限を付与します。データベース ユーザーに必要な権限は、デ

ータベースへのアクセスに関連する特定の権限のみです。これらのほかに、インストールとアップグレードにのみ必

要な権限があります。このような権限は製品のインストールやアップグレードを行った後に削除できます。

vRealize Suite の概要

VMware, Inc. 31

仮想レイヤーのセキュリティ保護

ハードウェア、スイッチなどを含む物理レイヤーに加えて、仮想レイヤーのセキュリティ保護が必要です。オペレー

ティング システムおよび仮想ネットワーク レイヤーを含む仮想マシンのセキュリティを保護します。

セキュリティおよび仮想マシン

仮想マシンは、アプリケーションやゲスト OS が実行する論理コンテナです。設計上、すべての VMware 仮想マシン

はそれぞれ分離されています。この分離により、複数の仮想マシンがハードウェアを共有しながら、安全に実行でき、

パフォーマンスに影響することなくハードウェアにアクセスできます。

仮想マシンのゲスト OS でシステム管理者権限を持つユーザーでも、ESXi システム管理者により明示的に権限が付与

されていない限り、この分離のレイヤーに違反して、別の仮想マシンにアクセスすることはできません。仮想マシン

が分離されていると、仮想マシンで実行するゲスト OS で障害が発生した場合でも、同じホスト上にあるほかの仮想

マシンは継続して動作します。ユーザーは引き続き他の仮想マシンにアクセスすることができ、他の仮想マシンのパ

フォーマンスは影響を受けません。

仮想マシンは、同じハードウェアで実行している他の仮想マシンとは分離されています。仮想マシンは、CPU、メモ

リ、I/O デバイスなどの物理的なリソースを共有しますが、個々の仮想マシンのゲスト OS は利用可能な仮想デバイ

スしか検出できません。

図 2-9. 仮想マシンの分離

CPU

SCSI コントローラ

メモリ

マウス

ディスク

CD/DVD

ネットワークとビデオ カード

キーボード

オペレーティング システム

仮想マシンのリソース

仮想マシン

VMkernel はすべての物理リソースを仲介します。すべての物理ハードウェアへのアクセスは VMkernel を介して

行われるため、仮想マシンはこの分離レベルを回避できません。

物理マシンがネットワーク カードを介してネットワークのほかのマシンと通信するように、仮想マシンは仮想スイッ

チを介して同じホストで実行するほかの仮想マシンと通信します。さらに、仮想マシンは物理ネットワーク アダプタ

を介して、ほかの ESXi ホスト上の仮想マシンを含む、物理ネットワークと通信します。

vRealize Suite の概要

VMware, Inc. 32

図 2-10. 仮想スイッチを介した仮想ネットワーク

仮想スイッチが仮想マシン同士を接続

仮想マシン

仮想ネットワーク

アダプタ

仮想マシン

仮想ネットワーク

アダプタ

ESXi

VMkernel

仮想ネットワーク層

ハードウェア

アダプタが仮想マシンを物理ネットワークに接続

ネットワーク

物理ネットワーク

仮想ネットワークも仮想マシンの分離の影響を受けます。

n 仮想マシンがほかの仮想マシンと仮想スイッチを共有しない場合、ホスト内の仮想マシンから完全に分離されま

す。

n 物理ネットワーク アダプタが仮想マシンに構成されていない場合、仮想マシンは完全に分離されます。これには

物理または仮想ネットワークからの分離が含まれます。

n 仮想マシンのセキュリティは、ファイアウォール、アンチウイルス ソフトウェアなどを使用してネットワークか

ら保護されていれば、物理マシンのセキュリティと同レベルになります。

リソース予約と制限をホストで設定することで、仮想マシンの保護を強化できます。たとえば、リソースの割り当て

を使用して、仮想マシンがホストの CPU リソースの少なくとも 10 パーセントを使用しても、その使用量が 20 パー

セントを超えないように仮想マシンを構成できます。

リソース予約および制限を設定すると、別の仮想マシンが共有ハードウェアのリソースを大量に使用した時に生じる

場合がある、仮想マシンのパフォーマンス低下を阻止します。たとえば、ホストのいずれかの仮想マシンが、サービ

ス拒否 (DoS) 攻撃により機能できなくなっても、そのマシンのリソース制限により、ほかの仮想マシンに影響を及ぼ

すほどのハードウェア リソースを使用する攻撃を防ぐことができます。同様に、各仮想マシンのリソース予約によ

り、DoS 攻撃のターゲットにされた仮想マシンに多くのリソースが要求された場合でも、ほかのすべての仮想マシン

は、十分なリソースを使用できます。

デフォルトでは、ESXi はリソースの一定割合をその他のシステム コンポーネントで使用するように確保しながら、

使用可能なホスト リソースを仮想マシンに均等に配分する分散アルゴリズムを適用して、リソース予約の形式を割り

当てます。このデフォルト動作により、DoS および分散型サービス拒否 (DDoS) 攻撃からある程度は自然に保護され

ます。特定のリソース予約および制限が個別に設定されるとデフォルトの動作をカスタマイズできるので、仮想マシ

ンの構成全体で均等配分しないように設定できます。

vRealize Suite の概要

VMware, Inc. 33

セキュリティと仮想ネットワーク

ESXi ホストに vCenter Server を介してアクセスする場合、通常はファイアウォールを使用して vCenter Server を保護します。このファイアウォールは、ネットワークに基本的な保護を提供します。

通常ファイアウォールはシステムのエントリー ポイントとなる場所に配置します。ファイアウォールは、クライアン

トと vCenter Server との間に配置されていることがあります。または、導入環境によっては、vCenter Server とク

ライアントがファイアウォールの内側に配置されている場合があります。

vCenter Server で構成されたネットワークは、vSphere Client またはサードパーティ製ネットワーク管理クライア

ントを介して通信を受信できます。vCenter Server は、指定ポートで管理されるホストとクライアントからのデータ

を待機します。また、vCenter Server は、管理ホストが指定ポートで vCenter Server からのデータを待機すること

を前提としています。データ転送をサポートするには、ESXi、vCenter Server、および他の vSphere コンポーネン

ト間のファイアウォールのポートを開いておく必要があります。

また、ネットワークの使用方法や、さまざまなデバイスに必要なセキュリティ レベルの程度により、ネットワークの

さまざまなアクセス ポイントにファイアウォールを追加することもできます。ファイアウォールの配置場所は、ネッ

トワーク構成から特定したセキュリティ リスクに基づいて選択します。

VMware NSX を使用したワークロードのセキュリティ保護

VMware NSX では、Software-Defined Networking および論理ファイアウォール、論理スイッチ、論理ルーティ

ングの仮想ネットワーク セキュリティ サービスが提供されます。仮想ネットワークのデザイナは、これらのサービ

スを任意に組み合わせて、プログラムによってサービスを構築し、固有の分離仮想ネットワークを作成します。この

テクノロジでは、従来のハードウェア アプライアンスよりも詳細なセキュリティが提供されます。仮想環境では、こ

れらのサービスを vNIC レベルで適用できます。従来のサービスは物理ネットワークで構成されます。

VMware NSX の一部の機能については、VMware NSX for vSphere (NSX) ネットワーク仮想化設計ガイド で詳しく

説明します。これらの機能を実装する手順については、VMware NSX for vSphere のドキュメントを参照してくだ

さい。

NSX は、セキュアな仮想ネットワーク環境を Software-Defined Data Center 用に構築することのできる、VMware ネットワーク仮想化セキュリティ プラットフォームです。Software-Defined Firewall、ルータ、ゲートウェイ、お

よびそのポリシーを導入して管理を行い、安全な仮想化ネットワークを構築するには、NSX を使用します。仮想マシ

ンが、基になる物理プラットフォームから独立しており、IT が物理ホストをコンピューティング キャパシティのプー

ルとして扱うことができる場所では、仮想ネットワークは、基盤になる IP ネットワーク ハードウェアから独立しま

す。IT は物理ネットワークを転送キャパシティのプールとして扱うことができ、これをオンデマンドで使用、再利用

できます。NSX を使用すると、データ整合性を維持する必要があるネットワークとコンピューティング スタック全

体で垂直方向のエッジ トラフィックと水平方向のトラフィックを保護できます。たとえば、さまざまなテナントから

のワークロードを個別の分離仮想ネットワークでセキュアに実行しつつ、基盤となる同一の物理ネットワークを共有

できます。

NSX の機能

NSX では、仮想ネットワークを編成して管理するための論理ネットワークの要素、境界プロトコル、セキュリティ サービスのすべてのセットが提供されます。NSX プラグインを vCenter Server にインストールすると、データセンタ

ーにおける NSX コンポーネントやサービスの作成や管理を一元的に制御することができます。

特徴と機能については、NSX 管理ガイドを参照してください。

vRealize Suite の概要

VMware, Inc. 34

VMware NSX Edge

NSX ドメインで展開された論理ネットワークと外部物理ネットワーク インフラストラクチャ間の一元化された垂直

方向のルーティングを可能にします。NSX Edge はオープン ショーテスト パス ファースト (OSPF)、内部ボーダー

ゲートウェイ プロトコル (iBGP)、外部ボーダー ゲートウェイ プロトコル (eBGP) などの動的ルーティング プロトコ

ルをサポートしており、静的ルーティングを使用できます。ルーティング機能は、アクティブ/スタンバイのステート

フル サービスと等コスト マルチパス ルーティング (ECMP) をサポートしています。NSX Edge では、ネットワーク

アドレス変換 (NAT)、ロード バランシング、仮想プライベート ネットワーク (VPN)、ファイアウォール サービスな

どの標準エッジ サービスも提供されます。

論理スイッチ

NSX 論理スイッチでは、L2 論理ネットワークによる異なる論理ネットワーク上にあるワークロード間の分離が強化

されています。仮想分散スイッチは、VXLAN テクノロジを使用することにより L3 ファブリック上で、クラスタ内に

ある複数の ESXi ホストをつなぐことができるため、一元的な管理のメリットを提供します。vCenter Server を使用

して転送ゾーンを作成し、必要に応じて論理スイッチを転送ゾーンに割り当てることで、分離の範囲を制御できます。

分散ルーティング

分散ルーティングは、分散論理ルータ (DLR) と呼ばれる論理要素によって提供されます。DLR とは、仮想マシン接続

が必要なすべてのホストにインターフェイスが直接接続されたルータです。論理スイッチは論理ルータに接続されて

おり、L3 接続を実現しています。監視機能である転送を制御する制御プレーンは、制御仮想マシンからインポートさ

れます。

論理ファイアウォール

NSX プラットフォームは、セキュアな多層ワークロードを確保するために次の重要な機能をサポートしています。

n 論理ファイアウォール機能のネイティブ サポートにより、多層ワークロードをステートフルに保護します。

n たとえばアンチウイルス スキャンなどのマルチベンダー セキュリティ サービスや Service Insertion をサポー

トし、アプリケーション ワークロードを保護します。

NSX プラットフォームには、NSX Edge サービス ゲートウェイ (ESG) によって提供される一元化されたファイアウ

ォール サービス、所定の NSX ドメインに含まれるすべての ESXi ホスト上で VIB パッケージとしてカーネルで有効

になる分散ファイアウォール (DFW) が含まれています。DFW では、ライン レートに近いパフォーマンスのファイ

アウォール、仮想化、ID 認識、アクティビティ監視、ロギング、その他のネットワーク仮想化にネイティブなネット

ワーク セキュリティ機能が提供されます。これらのファイアウォールを構成して、各仮想マシンの vNIC レベルでト

ラフィックをフィルタリングします。この柔軟性は、詳細なレベルのフィルタを必要とする各仮想マシンにおいても、

分離された仮想ネットワークを構築する上で重要です。

vCenter Server を使用してファイアウォール ルールを管理します。ルール テーブルは、各セクションが特定のワー

クロードに適用できる特定のセキュリティ ポリシーを持つように編成されています。

セキュリティ グループ

NSX では、次のいずれかの項目が含まれる可能性のあるグループ化メカニズム基準が提供されます。

n 仮想マシン、分散スイッチ、クラスタなどの vCenter Server オブジェクト

n vNIC、仮想マシン名、仮想マシンのオペレーティング システムなどの仮想マシンのプロパティ

vRealize Suite の概要

VMware, Inc. 35

n 論理スイッチ、セキュリティ タグ、論理ルータなどの NSX オブジェクト

グループ化メカニズムは静的な場合も動的な場合もあり、セキュリティ グループは vCenter オブジェクト、NSX オブジェクト、仮想マシンのプロパティ、AD グループなどの ID マネージャ オブジェクトの任意の組み合わせにでき

ます。NSX のセキュリティ グループは、ユーザーによって定義された静的除外基準とともにすべての静的および動

的基準に基づきます。動的グループは、メンバーがグループに加われば拡大し、メンバーがグループを離れれば縮小

します。たとえば、動的グループには名前が web_ で始まるすべての仮想マシンが含まれる場合があります。セキュ

リティ グループにはいくつか便利な特徴があります。

n 複数のセキュリティ ポリシーを 1 つのセキュリティ グループに割り当てることができます。

n 1 つのオブジェクトが同時に複数のセキュリティ グループに属することができます。

n セキュリティ グループは他のセキュリティ グループを含むことができます。

NSX Service Composer を使用してセキュリティ グループを作成し、ポリシーを適用します。NSX Service Composer は、ファイアウォール ポリシーとセキュリティ サービスをリアルタイムでアプリケーションにプロビジ

ョニングして割り当てます。ポリシーは、新しい仮想マシンがグループに追加された時点で適用されます。

セキュリティ タグ

セキュリティ タグを任意の仮想マシンに適用し、必要に応じてワークロードに関するコンテキストを追加できます。

セキュリティ グループはセキュリティ タグをベースにすることができます。セキュリティ タグはいくつかの一般的

な分類を示します。

n セキュリティの状態。たとえば、脆弱性が見つかった場合など。

n 部門ごとの分類。

n データ型による分類。たとえば、PCI データなど。

n 環境のタイプ。たとえば、本番環境や開発環境など。

n 仮想マシンの地理または位置。

セキュリティ ポリシー

セキュリティ ポリシーのグループ ルールは、データセンターで作成されたセキュリティ グループに適用されるセキ

ュリティ制御となります。NSX では、ファイアウォール ルール テーブルにセクションを作成できます。セクション

を使用すれば、ファイアウォール ルールをより厳密に管理してグループ化できます。1 つのセキュリティ ポリシーが

ファイアウォール ルール テーブルの 1 つのセクションとなります。このポリシーはファイアウォール ルール テー

ブル内のルールとセキュリティ ポリシーを通じて記述されたルール間の同期を維持し、一貫性のある実装を実現しま

す。セキュリティ ポリシーは特定のアプリケーションまたはワークロードについて記述されるため、これらのルール

はファイアウォール ルール テーブル内の特定のセクションに整理されます。複数のセキュリティ ポリシーを 1 つの

アプリケーションに適用できます。複数のセキュリティ ポリシーを適用するときのセクションの順番によって、ルー

ル適用の優先順位が決まります。

仮想プライベート ネットワーク サービス

NSX では、L2 VPN および L3 VPN という名前の VPN サービスが提供されます。個別のデータセンター サイトで展

開された NSX Edge デバイスのペア間の L2 VPN トンネルを作成します。L3 VPN を作成し、リモートの場所からデ

ータセンター ネットワークへの安全な L3 接続を実現します。

vRealize Suite の概要

VMware, Inc. 36

ロール ベースのアクセス コントロール

NSX には、企業内のコンピュータまたはネットワーク リソースへのアクセスを制御するビルトインのユーザー ロー

ルがあります。ユーザーは 1 つのロールしか持つことができません。

表 2-7. NSX Manager のユーザー ロール

ロール 権限

Enterprise Administrator NSX の操作とセキュリティ。

NSX Administrator NSX の操作のみ。たとえば、仮想アプライアンスをインストールして、

ポート グループを構成します。

Security Administrator NSX のセキュリティのみ。たとえば、データ セキュリティ ポリシーを定

義し、ポート グループを作成し、NSX モジュールのレポートを作成しま

す。

Auditor 読み取り専用。

Partner Integration

VMware テクノロジー パートナーのサービスは管理機能、制御機能、データ機能において NSX プラットフォームと

統合され、統合されたユーザー エクスペリエンスと任意のクラウド管理プラットフォームとのシームレスな統合を実

現します。詳細については、https://www.vmware.com/products/nsx/technology-partners#security を参照し

てください。

NSX の概念

SDDC 管理者は、NSX の機能を構成してデータセンター内でネットワークの分離とセグメント化を実行します。

ネットワークの分離

分離は、多くのネットワーク セキュリティの基盤であり、コンプライアンス、脅威からの保護、またはテスト環境や

開発環境の隔離に使用されます。従来、分離とマルチテナントを確立して実施するためには ACL、ファイアウォール

ルール、およびルーティング ポリシーが使用されます。ネットワーク仮想化では、これらのプロパティのサポートが

本質的に提供されます。VXLAN テクノロジーを使用すると、仮想ネットワークはデフォルトで他の仮想ネットワー

クや基盤となる物理インフラストラクチャから分離され、最小限の権限のセキュリティ プリンシパルが提供されま

す。仮想ネットワークは分離して作成され、明示的に接続されない限り分離されたままとなります。分離を有効にす

るのに物理サブネット、VLAN、ACL またはファイアウォール ルールは必要ありません。

ネットワークのセグメント化

ネットワークのセグメント化は分離と関係がありますが、多重階層の仮想ネットワークに適用されます。従来、ネッ

トワークのセグメント化は物理ファイアウォールまたはルータの機能で、ネットワーク セグメントまたは階層間のト

ラフィックを許可または拒否するために設計されています。Web、アプリケーション、およびデータベース階層間の

トラフィックをセグメント化する場合、従来の構成プロセスは時間がかかり、人為的なエラーを引き起こしやすいた

め、セキュリティ違反が高い確率で発生していました。実装にはデバイス構成の構文、ネットワーク アドレス、アプ

リケーション ポートおよびプロトコルに関する専門知識が必要です。

ネットワーク仮想化は、ネットワーク サービス構成の構築とテストを簡素化し、セグメント化を行うネットワーク全

体においてプログラム制御によって展開したり複製したりできる実証済みの構成を作成します。分離などのネットワ

ークのセグメント化は、NSX ネットワーク仮想化のコアな機能です。

vRealize Suite の概要

VMware, Inc. 37

マイクロセグメンテーション

マイクロセグメンテーションは、分散ルータおよび分散ファイアウォールを使用してトラフィックを vNIC レベルで

分離します。アクセス制御を vNIC で適用することにより、物理ネットワーク上で実施されるルールの効率化を実現

します。NSX 分散ファイアウォールを使用してマイクロセグメンテーションを使用すると、複数の組織が同じ論理ネ

ットワーク トポロジを共有する場合、3 階層アプリケーション（例えば、Web サーバ、アプリケーション サーバ、

データベースなど）に対してマイクロセグメンテーションを実装することができます。

ゼロトラスト モデル

最も厳密なセキュリティ設定を実現するには、セキュリティ ポリシーを構成する際にゼロトラスト モデルを適用し

ます。ゼロトラスト モデルは、ポリシーによって特に許可されていない限り、リソースおよびワークロードへのアク

セスを拒否します。このモデルでは、トラフィックを許可するにはそのトラフィックをホワイトリストに含める必要

があります。重要なインフラストラクチャ トラフィックを許可するようにしてください。デフォルトでは、NSX マネージャ、NSX コントローラおよび NSX Edge サービス ゲートウェイは分散ファイアウォール機能から除外されま

す。vCenter Server システムは除外されないため、このポリシーを適用する前に明示的に許可し、ロックアウトを防

ぐ必要があります。

管理クラスタおよびテナント ワークロードの保護

SDDC 管理者は、NSX 機能を使用してデータセンター内の vRealize Suite 管理クラスタおよびテナント ワークロー

ドを分離し保護することができます。

管理クラスタには、ドメインの vCenter Server、 NSX Manager、および vRealize Suite 製品とその他管理製品と

コンポーネントが含まれています。これらのシステムを不正アクセスから保護するにはトランスポート レイヤー セキュリティ (TLS) および認証を使用します。Edge クラスタ、ワークロード システム、およびクラスタからの管理ク

ラスタ仮想ネットワーク システムの分離およびセグメンテーションを強化するには、NSX 機能を使用します。展開

した管理システムのインストールおよび構成ドキュメントの説明に従って、必要な管理システム ポートへの適切なア

クセスを許可します。

データセンターのテナント ワークロードは、Web、アプリケーション、データベース サーバから成る 3 層のアプリ

ケーションとして実装される場合があります。これらのシステムを不正アクセスから保護するには TLS および認証

を使用します。データベース接続文字列などの提供されたセキュリティ サービスを使用して接続を保護し、SSH を使

用してホスト アクセスを保護します。可能であれば VNIC レベルで NSX 機能を適用し、テナント ワークロードをお

互いに分離してマイクロセグメンテーションを実施します。

NSX 機能の使用についての詳細は、VMware NSX for vSphere (NSX) ネットワーク仮想化設計ガイド を参照してく

ださい。NSX 機能を設定する手順については、VMware NSX for vSphere のドキュメントを参照してください。

vRealize Suite の概要

VMware, Inc. 38

vRealize Suite のインストールのチェックリスト 3vRealize Suite 製品は規定の順序で個別にダウンロード、インストール、構成します。vRealize Suite の個々の製品

は、Windows または Linux ベース マシンのインストール パッケージ、または ESXi ホストを実行している仮想マシ

ンに導入できる仮想アプライアンスとして提供されます。インストールする製品は、vRealize Suite のエディション

によって決まります。

相互運用性を保持するには、vRealize Suite 製品が正しいバージョンであることを確認します。VMware が認定する

互換性に関する詳細については、VMware 互換性ガイド を参照してください。

vRealize Suite Lifecycle Manager を使用して、一度のシンプルなインストール プロセスで vRealize Suite の個々

の製品をまとめてインストールすることもできます。vRealize Suite Lifecycle Manager を参照してください。

図 3-1. vRealize Suite のデプロイのフロー

vRealize SuiteEnterprise

エディションを使用していますか?

はい

vRealize Automation をインストールします

vRealize Log Insight をインストールします

vRealize Operations Manager をインストールします

vRealize Suite Lifecycle Manager

VMware, Inc. 39

表 3-1. vRealize Suite のインストールのチェックリスト

vRealize Suite 製品 詳細情報

vRealize Operations Manager のインストール vRealize Operations Manager のインストール ドキュメントを参照し

てください。こちらをクリックしてください。

vRealize Log Insight を仮想アプライアンスとしてインストールしま

す。

vRealize Log Insight のご使用のバージョンのインストール ドキュメン

トを参照してください。こちらをクリックしてください。

vRealize Suite Advanced または Enterprise エディションを購入し

た場合は、vRealize Automation をインストールします。管理およびセ

ルフサービス機能を提供する vRealize Automation アプライアンス、お

よび異種混在インフラストラクチャ機能をサポートする Infrastructure as a Service (IaaS) Windows Server をインストールします。

1 インストールを計画します。使用バージョンの vRealize Automation については、リファレンス アーキテクチャ ドキュメン

トを参照してください。

n vRealize Automation 7.6 リファレンス アーキテクチャ

n vRealize Automation 7.4 リファレンス アーキテクチャ

n vRealize Automation 7.3 リファレンス アーキテクチャ

n vRealize Automation 7.2 リファレンス アーキテクチャ

n vRealize Automation 7.1 リファレンス アーキテクチャ

n vRealize Automation 7.0.1 リファレンス アーキテクチャ

2 vRealize Automation をインストールします。使用バージョンの

vRealize Automation については、インストール ドキュメントを参

照してください。

n Easy Installer を使用した vRealize Automation のインスト

ール

n vRealize Automation 7.4 のインストール

n vRealize Automation 7.3 のインストール

n vRealize Automation 7.2 のインストールまたはアップグレー

ド

vRealize Business for Cloud を仮想アプライアンスとしてインスト

ールします。

使用バージョンの vRealize Business for Cloud については、インストー

ル ドキュメントを参照してください。

n vRealize Business for Cloud 7.6

n vRealize Business for Cloud 7.5

n vRealize Business for Cloud 7.4 のインストールおよび管理

vRealize Suite の概要

VMware, Inc. 40

古いバージョンの vRealize Suite または vCloud Suite からのアップグレード 4個々の製品を最新のバージョンにアップグレードすることにより、vCloud Suite または古いバージョンの vRealize Suite から vRealize Suite をアップグレードすることができます。推奨されるアップデート手順に従い、vRealize Suite のアップグレードが正常に終了するようにします。

アップグレードの前に、アップグレード対象の各製品に対する VMware 製品の相互運用性マトリクスをチェックし、

製品がサポート対象で、互換性のあるバージョンであることを確認します。VMware 製品の相互運用性マトリクスの

Web サイトを参照してください。

表 4-1. vRealize Suite 製品のアップグレード

製品 詳細情報

VMware vRealize Operations Manager vCenter Operations Manager から VMware vRealize Operations Manager のフレッシュ インストールにデータを移行することができます。

このバージョンへの vCenter Operations Manager デプロイの移行 を参

照してください。

vRealize Log Insight vRealize Log Insight のアップグレード

vRealize Automation vRealize Automation のアップグレード

vRealize Business for Cloud vRealize Business for Cloud へのアップグレード

VMware, Inc. 41