[Nutanix] Self Service Portalで簡単にプライベートIaaS基盤を作ろう

※このブログは、Nutanix Advent Calendar 2017 に参加しています。

 

若干古いかもですが… 1年前の2016年12月、AOS 5.0がリリースされました。個人的にAOS 5.0で期待をしていたのはAcropolis Block Services(ABS)とSelf-Service Portal(SSP)でした。

Self-Service Portalはその名の通り”セルフサービスポータル”です。ユーザが自分のポータルページより仮想マシンを作成、管理し削除できます。(去年からどっぷりハマっているVMware社のとあるプロダクトとかぶりますねー) 🙂

 

このSSPは非常に”シンプル“です。構成も”シンプル“でユーザが利用するのも”シンプル“で利用できる機能も”シンプル“です。 🙂 Standard Edition以上であれば利用可能でSSPを利用すると簡単にプライベートIaaS基盤が作れます。もちろんCEでも利用できます。:)

 

簡単にSSPを構成する手順について紹介しましょう。

 

■ SSPの構成

まず、SSPを構成するためには2つの要件を満たす必要があります。1つはCVMのメモリが24GB以上であること、もう1つは認証基盤としてActive Directoryを認証基盤として統合していることです。SSPを構成する前にこの2つをクリアしておきましょう。

 

① Prismに管理者として接続し、メインメニューよyり[Self Service]をクリックします。

 

② 新たにブラウザが起動しSSPページが表示されます。少し分かりづらいかもしれませんが、PRISMのロゴの横に”SSP”があればSSPページです。 🙂 PRISMと同じ管理者で接続します。

 

③ 最初の接続時にSSPの構成を行います。要件の一つであるADとの統合が必須です。SSPを提供するユーザのADドメインを選択、ドメインを検索可能なドメイン管理者アカウントを指定します。

 

④ 今度はSSPを管理する管理者アカウントを指定し、[Save]をクリックします。

 

⑤ これで初期構成は終わりです。:)

 

⑥ vRealize AutomationやOpenStackの環境をご存知の方は拍子抜けするほと”簡単“な構成です。見てみましょう。

  • VMs : 仮想マシンの情報が確認できます。ここではCVM以外のクラスタ内の仮想マシンの確認することができます。
  • Projects : 所謂テナントです。ふむ。テナントかvRAのビジネスグループレベルかもしれません。
  • Roles : ユーザに割り当てられる権限です。仮想マシンを作成、削除を始め、コンソール接続や編集、仮想マシンの停止/開始権限を割り当てることができます。
  • Users : SSPを利用できるユーザです。残念ながらグループ指定はできません。
  • Catalog Items : 仮想マシンのテンプレート(vRAだと、ブループリント)になります。このCatalog Itemsに登録された仮想マシンをテンプレートとして利用し仮想マシンを作成します。
  • Images : 仮想マシンで利用可能なイメージファイルを指定します。

 

⑦ それでは、ユーザに提供できるよう構成してみましょう。デフォルトとして”DevOps”ロールが作成されているため、新たに作る必要はありませんが、練習がてらロールを作成してみます。[Roles]を選択し、[Create Role]をクリックします。

 

⑧ 新しいロール名ろ割り当てる権限を有効にして[Save]をクリックすると終わりです。

 

⑨ 今度はプロジェクトを作成してみましょう。[Projects]を選択、[Create Project]をクリックします。

 

⑩ プロジェクト名、ユーザ、ロールを指定します。

 

⑪ 利用可能なネットワークも指定して、もしプロジェクトに制限をかけたい場合はここでクオーター設定することもできます。

 

⑫ プロジェクトが作成されたことを確認します。

 

⑬ 今度はテンプレートです。これもめちゃくちゃ”簡単“です。[VMs]を選択、テンプレートとして使用したい仮想マシンを指定し[Add a Catalog]をクリックするだけです。

 

⑭ カタログ名を指定し、[Save]…!

 

⑮ [Catalog Items]より、仮想マシンが追加されたことが確認できます。

これでSSPの構成はおわりです。

 

■ SSPの利用

SSPの構成が終わったら、実際にユーザが利用する手順についても簡単に紹介します。

 

⑯  手順 ⑩のプロジェクト作成時、指定したユーザでSSPページにアクセスします。

 

寂しいシンプルなページが表示されます。:) [Create VM]をクリックします。

 

⑱ 仮想マシン作成ウィザードが表示されます。作成方法は’VM Template’や’Disk Images’が利用できます。今回は’VM Template’を選択しました。

 

⑲ テンプレートとして利用するカタログを選択し、[Next]をクリックします。

 

⑳ 仮想マシン名やプロジェクトを含め、仮想マシンのスペックも変更できます。

 

㉑ 仮想マシンはシャドウクローン機能で瞬時に作成されます。

 

㉒ 作成した仮想マシンの[Actions]より[Launch console]をクリックし、コンソールを起動します。

 

㉓ 正常に仮想マシンが作成され、起動中であることが確認できます。

 

㉔ SSP管理ページは、ユーザが作成した仮想マシンのプロジェクトやオーナーが確認できます。

 

どうでしょうか?必要最低限な機能をシンプルにユーザに提供することがこのSSPの最大の魅力かもしれません。本当に”シンプル“ですよね?構成も”シンプル“、利用も”シンプル“です。まあ~ 利用できる機能も”シンプル“なために、今のところ利用シーンとしては標準テンプレートのみ利用する小規模部門に限られると思いますが、AOS 5.5でCalmがこのSSPより利用できるようなので一気にエンタプライズレベルでプライベート環境からパブリッククラウド環境までカバーできるようになることを楽しみにしています。 🙂

 

広告

[VMware] vRealize Suite Lifecycle Manager(vRSLCM) 導入(3)

 

先日vRSLCMのインストールと既存環境にあるvRAを追加してて、特に問題もなくすんなり行けたので何も考えず今度は他のプロダクトを追加してみました。

結果は一部のプロダクト追加に失敗しました。調子に乗りすぎたかもしれません。汗

 

失敗理由を含め、簡単にプロダクト追加について紹介しようと思います。

 

vRealize Suite Lifecycle Manager(vRSLCM) の導入(1)

vRealize Suite Lifecycle Manager(vRSLCM)の導入(2)

 

まず、以前vRAを追加した環境に新たにプロダクトを追加してみることにしました。

 

① “Manage Environments”をクリックし、前回追加した vRAのタイルメニューから”Add Products”を実行します。

 

② CEIPですが、なんとなく今回は参加してみました。:)

 

③ vRA以外のすべてのプロダクトを追加します。プロダクトをチェックし”Create Environment”をクリック… 問題なく進めばvRealize Business for Cloud、vRealize Log Insight、vRealize Operations Managerがインストールされるはずです。

 

④ インストールに必要な情報を入力します。まずvRealize Business for Cloudタブを選択し、のホスト名やIPアドレスとか通貨単位とかを入力します。

 

⑤ 今度はvRealize Log Insightの情報を入力します。

 

⑥ 最後にvRealize Operations Managerのインストール情報を入力後”NEXT”をクリックします。

 

⑦ 入力した情報の有効をチェックし、問題なければ”SUBMIT” !

 

⑧ インストールが開始されます。

 

⑨ “Request”から進行中のジョブをクリックすると…

 

⑩ インストールの進捗状況がインストールフェーズごとに確認できます。

 

⑪ 開始から30分ほど過ぎても順調に進んでたので’楽勝~ ♪’と思い、そのまましばらく放置してたら…

 

⑫ 途中で失敗しました。ふむ。メッセージからおそらく vRealize Business for Cloudのライセンス追加フェーズで失敗をしたようでした。よく考えてみるとですね、vRealize Business for Cloudを指定した記憶が無いんですよねー。vRealize Business StandardからvRealize Business for Cloudに変わってからライセンスがvRealize Suiteではなくなったんですかね。他のプロダクトはvRealize Suiteのライセンスで問題ありませんでした。

しかもこのvRSLCMは一旦インストールが開始されると途中でジョブをキャンセルができません。失敗のフェースによってはretryが可能ですが今回のフェーズではretryもできずどうしようもない状態に陥ってしまいました。

結局再度チャレンジは諦めました。(´・ω・`)

 

⑬ 不幸中の幸いと言えるのはvRealize Business for Cloud以外のプロダクトはすべて終了したことですね。

 

⑭ とになく、インストールされたプロダクトは”Manage Environments”からvRAと同様、詳細情報やコンポーネントの追加、コンパチビリティーの確認なとができるようになります。

 

このvRSLCM、確かにvRealizeプロダクトのバージョンだった他のプロダクトの互換性確認だったりシングルUIでコンポーネントが追加できたりするライフサイクルを管理する面では素晴らしいと思います。個人的にはこのようなUIが結構好きです。:) ログの詳細確認やかジョブの再実行、キャンセルなどのジョブハンドリングの部分ももう少し操作をさせてくれても良さそうな気がしました。あと次のバージョンでは残りのプロダクトも是非まとめていただきたいですね。

 

[VMware] vSAN iSCSI Target (VIT)について

 

※このエントリーは、vExperts Advent Calendar 2017に参加しています。

 

※今年6月に作成した内容なので少し古いかもしれません。

 

vSAN 6.5よりiSCSI Target機能が追加されました。このvSAN iSCSI Target(VIT)はvsanDatastore上にiSCSI Target用LUNを作成しリモートサーバに提供できる機能です。簡単に言えば、vsanDatastoreの一部をiSCSIボリュームとして利用することができます。この機能はNutanixのような他のHCIでも提供している機能です。

 

vsanDatastoreは、NutanixのStorage Containerとは 異なり、vSANクラスタメンバー以外はアクセスができません。なのでこのVITを利用するとvSANクラスタメンバーでないサーバからもvsanDatastoreを利用することができます。要はvSANを構成するとただのiSCSIストレージも使えるということです。しかもストレージポリシーよってしっかりと可用性を確認しながらです。 🙂

 

それでは簡単にVITを構成する方法について紹介します。

① iSCSI Targetサービスを利用するためには、まずサービスを有効にする必要があります。サービスの有効はクラスタの[構成]の[iSCSI Targets]を選択し、[編集]をクリックします。

 

② サービスの有効化にチェックし、次の情報を設定します。

  • Default iSCSI Network : iSCSI通信で利用するvmkernelを選択します。
  • Default TCP port : デフォルトiSCSIポートの3260を利用します。(もちろん環境によって変更も可能です)
  • Default authentication : iSCSI targetとinitiator間の認証方法を指定します。(検証環境のため、認証は設定していません)
  • Storage policy for the home object : 作成するiSCSI target情報(メタデータ)を保護するストレージポリシーを選択します。

 

③ サービスが有効化されたらiSCSI Targetを作成します。

 

④ iSCSI Targetの情報を指定、 iSCSI Targetを作成します。

  • Alias : 分かりやすいiSCSI Targetのエイリアス
  • Storage Policy : iSCSI Targetを保護するストレージポリシー

 

その他の項目はiSCSI Targetサービス有効化の際に指定した値が自動的に反映されます。

  • LUN ID : 作成する論理ボリュームIDを指定します。(デフォルトの0をそのまま使ってもOKです)
  • Alias : ボリュームのエイリアスを指定します。
  • Storage policy : LUNを保護するストレージポリシーを選択します。
  • Size : LUNのサイズを指定します。

 

⑤ iSCSI TargetとLUNが作成されたことが確認できます。上図ではiSCSI Targetのオーナーノードが”n-esxi65-09″であることも確認できます。

 

⑥ 接続させるiSCSI initiatorを追加します。initiatorとしてはWindows Serverを用意し、”iscsi initiator”と”MPIO”機能を追加しました。

 

⑦ iSCSI initiatorからiSCSI Targetを追加すると普通のiSCSIストレージと変わらず、ボリュームが追加されます。追加したボリュームをオンラインしてフォーマットしたら完了です。:)

 

⑧ [監視]タブの[vSAN]→[iSCSIターゲット]よりiSCSI Targetがストレージポリシーによって保護されていることが確認できます。

 

⑨ vsanDatastoreを参照すると仮想マシンと同様、ディレクトリが作成されLUN用仮想ディスクも作成されていることが確認できます。

このVITは、他のiSCSIストレージを構成するのと同じ設定で構成します。なので簡単に構成し、利用できます。
6.5では次の制限事項があります。
まず作成したLUNを共有ボリュームとして利用することができません。ということはWSFCのようなゲストクラスタリングのように複数のサーバによる共有ストレージ領域としての利用は残念ながらサポートされません。(NutanixのABSの場合は共有ストレージ領域としての利用もサポートされています)
ただし共有ストレージを使用しないExchange ServerのDAG構成やSQL Server AlwaysOn Availability Groups 、DFS-Rといったアプリケーション側でクラスタリング構成が可能な場合はサポートされます。
またESXiホストからの接続もサポートされません。

 

iSCSI Targetのオーナーノードの”メンテナンスモード切り替え”時、IOが自動的にリダイレクトされません。(おそらくこれが一番致命的かと…) オーナーノードをメンテナンスモードに切り替えるとiSCSI Targetと切断されます。残念ながら今のところ… 汗 ただしメンテナンスモードではなく”再起動”の場合は他のESXiホストにオーナーノードが変更されます。

 

まあ、結論… まだまだ本番環境での利用には時期早々ということですな…

検証される方は以下のガイドをご参照ください。

iSCSI target usage guide

 

[Nutanix] AOS 5.5 リリース

プロジェクト名”Obelix”で知られていたAOS 5.5が本日リリースされました。

 

新たに追加された機能の一部を紹介しますと…

  • CVMがCentOS 7.3ベースにアップデートされました。(ただしESXi 5.0と5.1からのアップグレードはサポートされませんのでご注意を)
  • マシンラーニング能力が追加され、リソースの消費モニタリングはもちろん異常行動を検知し正しいプランニングをガイドしてくれるそうです。
  • SSPがPrism Centralに統合されました。
  • SSPの認証基盤としてOpenLDAPもサポートするようになりました。
  • Calmが利用可能になりました。:)

  • レポート機能の追加され、メールで定期的にレポートを受けられるようになりました。
  • 非同期DR機能にRPOを1分以内にするNearSync機能追加されました。
  • シングルノードクラスタサポートされるようになりました。(対応機種はNX-1175S-G5のみ)
  • Acropolis Image 管理がPrism ElementからPrism Centralに変更されました。(ただしPrism Central環境がない場合はそのままPrism Elementで利用可能)
  • Windows Server 2016とHyper-V 2016対応しました。
  • AHVクラスタにてvGPUが利用可能になりました。
  • 仮想マシンに対してvNUMAをサポートするようになりました。
  • マイクロセグメンテーションが利用できるようになりました。

また、いくつかの機能に変更がありましたのでこれも簡単に…

  • Acropolic Container Services(ACS)はサポートしなくなりました。
  • 暗号化としてTLS1.0、1.1、SSLv3が非推奨になりました。すべてのNutanix製品はTLS1.2で暗号化を実現します。
    NGTもTLS1.2を使用するようになりました。
  • LinuxゲストOSでもSSRが利用できるようになりました。
  • 仮想マシンのHot-Plugが利用できるようになりました。
  • Data-at-REST暗号化をサポートするようになりました。

 

より詳細ない内容はリリースノートをご参照ください。

 

 

[VMware] vRealize Automationの導入 (6)

 

(0) vRAの概要
(1) vRAのコンポーネント
(2) vRAのインストール
(3) テナント作成
(4) Active Directoryの追加
(5) エンドポイントの作成
(6) ファブリックグループの作成

 

前回までの構成を図で表すとこんな状態になります。

 

この状態からファブリックグループを作成し、利用可能なリソースを割り当てることになります。

 

ファブリック(fabric)は、簡単に言うと前回作成したエンドポイントによって収集されるすべてのコンピュートリソースのことです。このファブリックを”ファブリック管理者”が特定グループ(ここではビジネスグループ)が利用できるよう定義(グループ化)したのが「ファブリックグループ」です。

 

ファブリックグループは大きく4つがあります。

  • コンピュートリソース
  • マシンプリフィックス
  • ネットワークプロファイル
  • 予約と予約ポリシー

 

「コンピュートリソース」は、このブログの例だと”リソースとして利用可能なvSphere クラスタ”になります。「マシンプリフィックス」、「ネットワークプロファイル」、「予約と予約ポリシー」は次回紹介することとし、今回はファブリックグループの作成とエンドポイントよりデータを収集する手順について紹介します。

 

(6) ファブリックグループの作成

の前に一つやっておきたいことがあります。

vRAは今まで登場した”テナント管理者”や”IaaS管理者”、”ファブリック管理者”以外に、いくつものロールが存在します。このロールは主にサービスを提供または提供を準備する機能毎に分かれています。例えばマシンブループリントを作成するためには”インフラストラクチャアーキテクト”というロールが必要ですし、XaaSブループリントをを作成するためには”XaaSアーキテクト”というロールが必要です。このロールはユーザまたはグループ単位で割り当てができます。

  • Health Consumer – テナントヘルス状態を参照
  • インフラストラクチャアーキテクト – マシンブループリントの作成・管理
  • XaaSアーキテクト – XaaSブループリントの作成・管理
  • ソフトウェアアーキテクト – ソフトウェアブループリントの作成・管理
  • アプリケーションアーキテクト – 複合ブループリントの作成・管理
  • コンテナアーキテクト – ブループリントに対しコンテナやネットワークコンポーネントを追加・管理
  • カタログ管理者 – カタログサービスの作成・管理
  • コンテナ管理者 – コンテナ関連の作成・管理
  • 承認管理者 – 承認ポリシーの作成・管理
  • セキュアなエクスポートのコンシューマ – 暗号化されたカスタムプロパティやコンテンツをクリア形式でエクスポート可能

 

まあ~よく分かりませんね。 🙂 検証環境だし使うユーザに対してすべての権限を割り当てることにします。:)

※本番環境ではきちんとロールを使い分けて使うことをオススメします。

① [管理]メニューより[ユーザおよびグループ]を選択します。

 

② [ディレクトリユーザとディレクトリグループ]を選択、”検索フォーム”からロールを追加したいユーザまたはグループを検索します。ユーザまたはグループが表示されたら、ユーザ名をクリックするか[詳細表示]をクリックします。

 

③ [全般]タブから”ロールを追加するユーザ”すべてにチェックを入れ、[完了]をクリックします。

※追加するユーザが”テナント管理者”と”IaaS管理者”であれば、そのロールはチェックされているはずです。

 

④ ログイン中のユーザのロールを変更した場合は、上図のように割り当てられて権限を確認するためにはログインし直す必要があります。

 

これで完璧です。すべて権限で何でも検証できます。 🙂

 

▶▶▶ファブリックグループの作成

それでは本題のファブリックグループを作成してみましょう。

⑤ [インフラストラクチャ] → [エンドポイント] → [ファブリックグループ]順に選択し、[New]をクリックします。

 

⑥ ファブリックグループ作成に必要な情報を入力し、[OK]をクリックします。

  • Name – ファブリックグループ名
  • Fabric Administrators – ファブリック管理者
  • Compute resources – ファブリックグループで利用するコンピュートリソース

※ ファブリック管理者は必須項目ではありませんが、必ず追加しましょう。

※ Compute resourcesが表示されない場合は、”エンドポイント”が正常に作成されてない可能性があります。

 

⑦ ファブリックグループが作成されたこと確認し、一旦ログインし直しましょう。

 

⑧ 再度ログインすると、なんかメニューが増えていることが分かります。 🙂 これはファブリックグループ管理に必要な権限がユーザに追加されたためです。

 

▶▶▶データコレクションの実行

作成したエンドポイントは定期的に接続している環境の情報を更新します。このブログの例だとvSphereクラスタのインベントリ情報が定期的に更新され常に最新状態を維持します。vSphere関連で収集される情報は以下の3つです。

  • Inventory – vSphere環境のインベントリ情報、デフォルト1日間隔
  • State – vSphere環境の仮想マシンの起動状態、デフォルト15分間隔
  • Performance – vSphere環境の仮想マシンのCPU、メモリ、ストレージ、ネットワークのパフォーマンス状態、デフォルト1日間隔

上記のようにほっといても1日1回は情報が最新に更新されますが、例えばブループリント用仮想マシンのテンプレート作成したのに1日待つのは時間が勿体無いですよね。なので手動でデータコレクションを実施します。

 

⑨ [インフラストラクチャ] → [コンピュートリソース]をクリックします。

 

⑩ [コンピュートリソース]を選択、Compute resourceの[Data Collection]をクリックします。

 

⑪ “Inventory”、”State”、”Performance” それぞれ[Request now]をクリックします。

 

⑫ 環境にもよりますが、データコレクションは数十秒から数分で完了します。データ収集結果が’Succeeded’であれば無事vSphere環境の情報が更新されたことを意味します。 [OK]をクリックし、Data Collectionを終了します。

 

ここまでがファブリックグループ作成とData Collectionの手動実施方法の紹介でした。次回は引き続きファブリックグループのコンポーネントを作成する手順について紹介したいと思います。

 

[VMware] vRealize Automationの導入 (5)

 

(0) vRAの概要
(1) vRAのコンポーネント
(2) vRAのインストール
(3) テナント作成
(4) Active Directoryの追加
(5) エンドポイントの作成

 

今度はエンドポイントを作成します。エンドポイント(Endpoint)とは、簡単にいうとvRAとコンピュートリソース間をつなぎコネクターのことです。vRAはコンピュートリソースを所有してなく、コンピュートリソースを利用するためには必ずエンドポイントを作成する必要があります。エンドポイントとコンピュートリソースは1:1で接続されvRA 7.3でサポートしているエンドポイントは以下のとおりです。

■ Cloud

  • vCloud Air
  • vCloud Director
  • Microsoft Azure
  • Amazon EC2
  • OpenStack

 

■ Orchestration

  • vRealize Orchestrator

 

■ Management

  • vRealize Operations Manager  <— vRA 7.3で追加

 

■ Network & Security  <— vRA 7.3で追加

  • NSX
  • Proxy

 

■ Storage

  • NetApp ONTAP

 

■ Virtual

  • vSphere
  • Hyper-V、SCVMM
  • KVM
  • XenServer

 

■ Physical

  • Dell EMC iDRAC
  • HPE iLO
  • Cisco UCS Manager

 

(5) エンドポイントの作成

① テナントページにログインします。

  • URL – https://vRAアプライアンス FQDN/vcac/org/テナントURL
  • ログインアカウント – “IaaS 管理者” 権限を持っているユーザ

 

② [インフラストラクチャ] → [エンドポイント]順に選択します。

 

③ [エンドポイント]より、[新規] → [仮想] → [vSphere(vCenter)]をクリックします。

 

④ エンドポイントの作成ページが表示されるので、[全般]タブから以下の情報を入力し、[接続テスト]をクリックします。

 

※エンドポイント名は大文字、小文字を区別します。また手順㉔で設定した名前と異なる場合、コンピュートリソースが参照されません。

 

⑤ 接続テストがエラーなく成功したら、[OK]をクリックします。

 

⑥ エンドポイントが作成されたことを確認します。

 

ここまでがvSphereエンドポイントを作成手順でした。次回はファブリックグループ作成について紹介しようと思います。

 

[Nutanix] Active Directory認証の構成

 

多くの企業の場合、ユーザ認証はActive Directoryを採用しているかと思います。認証管理は一括で統合管理できることに越したことはないでしょう。Nutanixの環境もADを認証基盤として利用することで、より簡単で安全なユーザ管理ができます。

 

今度はNutanixクラスタをADドメインユーザで管理できるようディレクトリ構成を行ってみます。(ディレクトリサービスとしてサポートしているのはActive Directoryのみです)

 

① [管理]メニューより[Authentication]をクリックします。

 

② “Directory List”より”New Directory”をクリックし、新しいLDAPソースを登録します。

 Name  追加するドメインの表示名(※ ‘.’などの記号は登録できません)
 Domain  ドメイン名
 Directory URL  ldap://ドメインコントローラのFQDN:389
 Directory Type Active Directory
 Connection Type LDAP

 

③ 登録したドメイン情報を確認してから [Authenticationの構成]を閉じます。

 

④ 今度は追加したADドメインのユーザ(またはグループ)に対して権限を指定します。[管理]メニューより[Role Mapping]をクリックします。

 

⑤ 権限を割り当てるユーザやグループ、またはOUを選択し追加します。

 Directory  Authenticationに追加したADドメイン
 LDAP Type  LDAP
 Role  割り当てる権限を選択 (Viewer、Cluster Admin、User Adminから選択)
 Values  割り当てるユーザまたはグループまたはOUを選択

 

⑥ 追加した内容を確認し、[Role Mapping]を閉じます。

※割り当てた権限は編集できません。変更する場合は一旦ロールを削除し、再度割り当てる必要があります。

 

⑦ ロールを割り当てたADドメインのユーザでログインしてみましょう。

 

⑧ ADドメインユーザでも全く問題なくログインできました。

 

ちなみに割り当てられる権限は”Viewer”、”Cluster Admin”、”User Admin”の3つがあり、”User Admin”がクラスタ認証を管理できる権限となります。