[VMware] vRealize Automationの導入 (14)

 

(0) vRAの概要
(1) vRAのコンポーネント
(2) vRAのインストール
(3) テナント作成
(4) Active Directoryの追加
(5) エンドポイントの作成
(6) ファブリックグループの作成
(7) マシンプリフィックス/ネットワークプロファイルの作成
(8) ビジネスグループの作成
(9) 予約/予約ポリシーの作成
(10)ブループリント作成
(11)サービスカタログの作成
(12)ブループリントのリクエスト
(13)承認ポリシーの作成
(14)カスタムプロパティの作成

 

今回は”カスタムプロパティ”について紹介します。

カスタムプロパティとはサービスや仮想マシンをプロビジョニングする際に指定てきるパラメータのことです。なので管理者が任意で定義が可能で、その定義に対してユーザが入力したりシステム側で別の値で上書きしたりすることができます。

このカスタムプロパティを利用するためには、まず”プロパティディクショナリ”から”プロパティ”を定義します。定義したプロパティを個別にブループリントやビジネスグループなどのソース(レベル)に指定することもグループ化することも可能です。

 

ブループリントに指定されたプロパティは、既存設定を上書きできます。例えばブループリントでは、プロビジョニングする仮想マシン名をマシンプリフィックスから自動的に割り当てれるように設定されたとしても、ユーザに仮想マシン名を入力するようなプロパティで上書きすることができます。

 

カスタムプロパティは複数ソース(レベル)で指定が可能で、もし複数のレベルに渡り同じカスタムプロパティが指定されている場合は、下図のような順番で適用されます。

 

(14)カスタムプロパティの作成

※ここでは、ユーザに”ホスト名”を入力させ、ネットワークもプルダウンメニューから選ばせるようにカスタムプロパティとWeb Clientにビジネスグループ単位のフォルダを作成、仮想マシンを配置するカスタムプロパティを定義してみます。

 

① テナント管理者としてポータルにログインし、[管理] → [プロパティディクショナリ]をクリックします。

 

② [プロパティ定義]を選択し、[新規]をクリックします。

 

③ まず”ホスト名”のカスタムプロパティを作成しましょう。定義するプロパティはVMware社で公開ししているカスタムプロパティのレファレンスを利用します。(英語版は2017年12月に更新されています)

  • 名前 : Hostname ※ここはカスタムプロパティ名を正確に指定します。
  • ラベル : ユーザに表示されるラベル名
  • データタイプ : 文字列
  • 必須 : はい
  • 選択方法 : テキストボックス

上記の項目の他にはオプションで、定義するカスタムプロパティをすべてのテナントで共有するのか、ブループリントでの表示順序は何番目にするのかなども決められます。一先ず必須項目を指定したら[OK]をクリックします。

 

④ 今度はネットワークを選択できるカスタムプロパティを作成しましょう。もう一度[新規]をクリックします。

 

⑤ 今回の必要項目のみ指定します。

  • 名前 : VirtualMachine.Network0.Name ※ここはカスタムプロパティ名を正確に指定します。
  • ラベル : ユーザに表示されるラベル名
  • データタイプ : 文字列
  • 必須 : はい
  • 選択方法 : ドロップダウン
  • 値 : 事前定義
    • 名前 : ドロップダウンに表示するネットワーク名
    • 値 : 仮想マシンの割り当てるポートグループ名  ※Web ClientのNetworkからコピーしてくださいね。

[OK]をクリックし、カスタムプロパティを作成します。

 

⑥ 作成した2つのカスタムプロパティをグループ化してみます。[プロパティグループ]を選択し、[新規]をクリックします。

 

⑦ 以下の情報を設定し、[OK]をクリックします。

  • 名前 : プロパティグループ名
  • ID : 自動的に入力されます。
  • プロパティ : 作成したカスタムプロパティを追加します。また[申請に表示]にチェックを入れ、ユーザがブループリントをリクエストする際にカスタムプロパティが表示されるようにします。

 

⑧ プロパティグループが作成されました。

 

⑨ それではブループリントに作成したプロパティグループを指定します。[設計] → [ブループリント]からプロパティグループを指定するブループリントの[編集]をクリックします。

 

⑩ まず、既存のネットワークオブジェクトを削除しましょう。削除する理由はカスタムプロパティにて仮想マシンがプロビジョニングされる時に割り当てられるためです。

 

⑪ 続いて仮想マシンのオブジェクトを選択し、[プロパティ] → [プロパティグループ]から[追加]をクリックします。

 

⑫ 手順⑦で作成したプロパティグループを選択します。

 

⑬ プロパティグループ追加後、[マージされたプロパティ]をクリックすると指定されたカスタムプロパティの内容が確認できます。

 

⑭ [完了]をクリックし、ブループリントの編集を終了します。

 

⑮ 動きを確認しましょう。プロパティグループを指定したブループリントから仮想マシンをリクエストしてみます。ちゃんと”マシン名”と”利用ネットワーク”が選べられるようになっています。

 

⑯ プロビジョニングされた仮想マシンを確認してもちゃんとユーザが入力したホスト名と選択したネットワークが割り当てられていることが分かります。

 

⑰ では、今度は仮想マシンの配置フォルダを決めるカスタムプロパティを設定します。ここではビジネスグループ毎にフォルダを作成し、その配下に仮想マシンを配置するようにします。[管理] → [ユーザおよびグループ]を選択します。

 

※基本的にvSphere エンドポイントにプロビジョニングされる仮想マシンはすべてWeb Clientの”VRM”というフォルダ配下に配置されます。これだとテナントやビジネスグループが複数ある場合、管理しづらくなります。なので配置フォルダを決めるカスタムプロパティを設定し、フォルダ分けした方が管理しやすいと思います。

 

⑱ [ビジネスグループ]を選択し、カスタムプロパティを設定するビジネスグループの[編集]をクリックします。

 

⑲ [全般]タブのカスタムプロパティから以下の情報を入力し、[OK]をクリックします。

  • 名前 : VMware.VirtualCenter.Folder
  • 値 : 配置するフォルダ名 例)VRM/Kiiro <-仮想マシンはKiiroというフォルダに配置されます。

 

⑳ [完了]をクリックし、ビジネスグループの編集を終了します。これでDevGrp-01というビジネスグループユーザのリクエストでプロビジョニングされる仮想マシンはKiiroというフォルダの配下に配置されます。

 

㉑ 仮想マシンをプロビジョニングすると”VRM\Kiiro”フォルダ配下に仮想マシンが配置されることが確認できます。

 

ここまでがカスタムプロパティを作成し、指定する手順は終わりです。vRAで利用可能なカスタムプロパティは機能別、アルファベット別にグループ化されています。このカスタムプロパティを利用すると、より柔軟なブループリントを作成できると思います。

 

次回はvRO(vRealize Orchestrator)のエンドポイント作成について紹介したいと思います。

 

広告

[ETC] Intel CPUバグによる脆弱性について

 

年明け早々、厄介な脆弱性で盛り上がってます。:)

共通脆弱性識別子(CVE – Common Vulnerabilities and Exposures)として以下の脆弱性が公開されました。脆弱性の内容はCPUアーキテクチャ関連バグに関するものです。

 

CVE-2017-5753とCVE-2017-5715は別名”Spectre“、CVE-2017-5754は”Meltdown“という別名となっていて両方共に非常に深刻なバグのようです。

“Meltdown”は1995年以降リリースされたIntel CPUのすべての世代がバグの影響を受け、このバグによりカーメルメモリ情報が読み取れてしまうリスクがあるとのことです。カーネルメモリ情報に関連するため、アンチウィルスソフトアや暗号化でも防げないとのことです。(“Meltdown”はAMD社のCPUでは影響を受けないようです)

“Spectre”は任意のプログラムによりユーザプログラムのメモリ情報が読み取られてしまうバグとのことです。どっちも深刻ですが”Meltdown”の方がよりヤバそうです。

 

しかも上記2つのバグを修正するためのパッチが適用するとCPUのパフォーマンスが最大30%低下してしまう検証結果が報告され益々炎上しているようで、Intel社から本バグについて言及し’うちだけの問題じゃない、他社CPUでも起こりうる。修正パッチの影響もそんな大げさなことではない’としていますが事態は収まりそうもないようです。

 

リスクの対象が過去10年間リリースされたIntel CPUなため、その影響範囲は膨大でGoogle社やMicrosoft社、Amazon社、RedHat社などでは早速対応を公開しています。

 

VMware社も関連内容を公開し”Spectre”に対するパッチも公開しましたが”Meltdown”については以下のようなコメントのみ、パッチはありませんでした。

A third issue due to speculative execution, Rogue Data Cache Load (CVE-2017-5754), was disclosed along the other two issues. It does not affect ESXi, Workstation, and Fusion because ESXi does not run untrusted user mode code, and Workstation and Fusion rely on the protection that the underlying operating system provides.

ESXiは未信頼ユーザモードのコードを実行しないし、WorkstationとFusionはOSが提供する保護機能に依存しているため”Meltdown”の影響を受けないとのことみたいです。

 

一部では2014年OpenSSL関連バグで業界を騒がせた”Heartbleed“を凌ぐインパクトがあると言ってますので、しばらく注意深く各ベンダーの対応状況をチェックした方が良いかもしれません。

 

[VMware] vRealize Automationの導入 (13)

 

(0) vRAの概要
(1) vRAのコンポーネント
(2) vRAのインストール
(3) テナント作成
(4) Active Directoryの追加
(5) エンドポイントの作成
(6) ファブリックグループの作成
(7) マシンプリフィックス/ネットワークプロファイルの作成
(8) ビジネスグループの作成
(9) 予約/予約ポリシーの作成
(10)ブループリント作成
(11)サービスカタログの作成
(12)ブループリントのリクエスト
(13)承認ポリシーの作成

 

さて、去年(!)まででユーザがブループリントをリクエストし仮想マシンがプロビジョニングできました。その際、ブループリントをリクエストしても特にプロセスが止まらず進んだかと思います。それは承認ポリシーが適用されていないためでした。

 

承認ポリシーは管理者がユーザのブループリントリクエストに対してリソースの利用を許可するかしないかを決めるプロセスになります。正直なところ、この承認ポリシーはなくてもvRAインフラを運用するのに何の問題もありません。むしろ管理者(または承認管理者)は一々、ユーザのリクエストに対して承認/却下をしないとならないので面倒かもしれません。:)  承認ポリシーが必要なシーンとしてはライセンス関連でのコスト管理やインフラに影響を及ぼすアイテムやアクションを提供する場合か、きっちりとインフラ管理部門がコントロールしたい場合などが考えられます。

 

承認ポリシーは”資格”と紐付きます。なので承認ポリシーは”サービスカタログ”、”アイテム”、”アクション”に対して適用が可能です。

承認ポリシーは”事前承認ポリシー”と”事後承認ポリシー”があります。

  • 事前承認ポリシー : 承認されない限りアイテムはプロビジョニングされません
  • 事後承認ポリシー : プロビジョニングはされますが、承認されない限りユーザに渡りません

 

※今回はマシンブループリントで仮想マシンをプロビジョニングする場合に承認ポリシーを利用する手順を紹介します。

 

(13)承認ポリシーの作成

① [管理] → [承認ポリシー]を選択し、[新規]をクリックします。

 

② 新規承認ポリシーとして”承認ポリシーのタイプを選択”を選択、対象タイプでは”サービスカタログ – カタログアイテム申請”を選び、[OK]をクリックします。

 

③ 承認ポリシーの名前とステータスを設定します。[事前承認]タブを選択し、承認レベルの追加をクリックします。

 

④ 承認レベル名と承認条件、そして承認者を設定し、[OK]をクリックします。[システムプロパティ]と[カスタムプロパティ]タブは特に設定しなくても大丈夫です。

※承認ポリシーはマルチレベルの承認ポリシー構成も可能です。が、今回は1回のみにします。

 

⑤ 事前承認のレベルが設定されたことを確認し、[OK]をクリックします。

 

⑥ 承認ポリシーが作成されたことを確認します。ちなみに手順①〜⑤を繰り返し、”事後承認ポリシー”も作りました。 🙂

 

⑦ 次は作成した承認ポリシーを紐付けます。[管理] → [カタログ管理] → [資格]順に選択し、承認ポリシーを提供する資格の[編集]をクリックします。

 

⑧ [アイテムおよび承認]タブからアイテムの[ポリシーの変更]で承認ポリシーを指定します。

 

⑨ ここでは作成した承認ポリシー2つをそれぞれ”CentOS 7-Minimum”と”Linux-Generic”に設定しました。承認ポリシーの指定が終わりましたら[完了]をクリックします。これで完了です。

 

⑩ では、動きを見てみましょう。ビジネスグループユーザでログインし、[カタログ]を選択します。承認ポリシーを指定したアイテム、2つをリクエストしました。

 

⑪ アイテムのリクエスト後、[申請]タブを確認すると、”事後承認ポリシー”を適用したアイテムは”処理中”で”事前承認ポリシー”を適用したアイテムは”承認待ち”であることが分かります。

 

⑫ 今度はテナント管理者としてログインします。[受信箱] → [承認]を選択すると手順⑪で”承認待ち”状態の申請ID ‘9’が追加されていることが分かります。[詳細表示]をクリックします。

 

⑬ 承認理由を入力し、[承認]か[却下]をクリックします。この承認ポリシーは[承認]をクリックします。

 

⑭ [申請]タブを確認すると、今度は”処理中”にステータスが変わっています。

※ちなみにテナント管理者やビジネスグループマネージャーは画面右上の[送信者]からビジネスグループユーザの申請内容も確認できます。

 

⑮ vSphere Web Clientから確認してみるとちゃんと2つの仮想マシンがプロビジョニングされています。

 

⑯ 再びテナント管理者のポータルを確認すると、今度は”事後承認ポリシー”を適用したアイテムのステータスが”承認待ち”になっていることが分かります。Web Clientで確認した時にはきちんと仮想マシンが作成されていましたが、事後承認ポリシーを指定したことによりユーザにはまだ渡されてない状態です。

 

⑰ これは[却下]をクリックしてみましょう。

 

⑱ するとステータスは”却下済み”に変わります。却下されたら、既にプロビジョニングされた仮想マシンはどうなるんでしょうかね?

 

⑲ はい。予想通り削除されます。 🙂

⑳ アイテムをリクエストしたユーザでログインして確認してみてもプロビジョニングされた仮想マシンは1つだけでした。

 

せっかくプロビジョニングしたのに、承認ポリシーで削除するのは無駄な気がしませんか? なので事後承認ポリシーを提供する場合はちゃんと考えましょう。:)

 

ここまでが承認ポリシーを作成し適用する手順でした。

次回はカスタムプロパティを作成し、ブループリントに適用する手順を紹介します。

 

 

ENTWINE / Plastic World

久しぶりの音楽紹介〜

 

SENTENCEDの次に好きなフィンランドのゴシックメタルバンドENTWINEの2015年作「Chaotic Nation」から1曲。やっぱこのドライブ感とMika Tauriainenのボーカルは最高だな。

[VMware] vRealize Automationの導入 (12)

 

(0) vRAの概要
(1) vRAのコンポーネント
(2) vRAのインストール
(3) テナント作成
(4) Active Directoryの追加
(5) エンドポイントの作成
(6) ファブリックグループの作成
(7) マシンプリフィックス/ネットワークプロファイルの作成
(8) ビジネスグループの作成
(9) 予約/予約ポリシーの作成
(10)ブループリント作成
(11)サービスカタログの作成
(12)ブループリントのリクエスト

 

一先ず前回までを構成したらでIaaSサービスとしての仮想マシンプロビジョニングを提供できるようになりましたので今回はユーザからサービスをリクエストする方法について紹介します。

 

(12)ブループリントのリクエスト

 

① まず8回でビジネスグループユーザとして追加したユーザでログインします。

 

② [カタログ]タブを選択すると、前回作成したカタログから資格が追加されたアイテムが表示されるはずです。プロビジョニングしたいアイテムの[申請]をクリックします。

 

③ アイテムの概要や仮想マシンのスペックを確認し、[送信]をクリックします。仮想マシンのリソースはブループリント作成時設定した最大値まで拡張できます。また設定した最大数の仮想マシンを同時にプロビジョニングすることも可能です。

 

④ アイテムのリクストが正常に送信されたことを確認し、[OK]をクリックします。

 

⑤ リクエストしたアイテムのステータスも確認できます。[申請]タブを選択するとユーザ自身がリクエストした内容が確認できます。今度はプロビジョニングのステータスも確認してみます。左側の “申請”番号か”詳細表示”をクリックします。

 

⑥ リクエストした内容が確認できます。右上の[実行情報]をクリックします。

 

⑦ 仮想マシンのプロビジョニング状態が確認できます。確認したら[OK]をクリックし、詳細表示を閉じます。

 

⑧ 仮想マシンのプロビジョニングが完了したら、リクエストのステータスが”成功”となります。

 

⑨ それではプロビジョニングした仮想マシンを見てみます。プロビジョニングしたアイテムは[アイテム]タブから確認できます。プロビジョニングされた仮想マシンが見えます。仮想マシンか”詳細表示”をクリックします。

 

⑩ プロビジョニングされた仮想マシンのストレージ、ネットワーク、スナップショットなどの情報がここで確認できます。左側に[アクション]メニューが表示されていることが確認できます。接続してみましょう。アクションのメニューから”VMRCを使用して接続”をクリックします。

 

⑪ “VMRCを使用して接続”のブラウザが別途開き、リモートコンソール接続が選択できます。VMRCがインストールされてない場合は、このページからVMRCをダウンロードもできます。

 

ここまでがブループリントを要求し、仮想マシンをプロビジョニングする手順でした。次回は承認ポリシー作成について紹介したいと思います。

 

 

 

 

[Nutanix] Nutanix Technology Champions 2018

光栄なことに今年もNTC(Nutanix Technology Champions) 2018になれました。

 

Welcome to the 2018 Nutanix Technology Champions (NTC)

 

NTCは、Nutanixのプロダクトを含めクラウドのエキスパートやコミュニティー、ブログなどのソーシャルメディアでNutanixのプロダクトと技術を広めたことを讃える、いわゆる名誉資格です。って去年言いました。 😅

また、より多くのNutanix関連情報を紹介して行きたいとも言いましたが… 正直今年はNutanix関連コミュニティ活動もブログ記事もあまりできませんでした。にも関わらず、このような名誉のあるプログラムに選ばれ光栄な限りです。 😅

 

繰り返しになりますが、来年はより役に立つ情報を共有して行きたいと思いますので、よろしくお願いします。 (去年も同じこと言ってましたね… 汗)