��z�f�[�^�Z��^�[�ւ̃Z�L��A�E�}��`�e�i��V�[�̓��

仮想データセンターへのセキュア・マルチ
テナンシーの導入
2010 年 4 月 5 日
はじめに
今日の IT インフラのほとんどは、サーバリソース、ネットワークリソース、ストレージリ
ソースが必要以上に分断されているという問題を抱えています。部門や部門内のチーム単位
で独自に機器を購入して使用しているため、利用率が低く、効率も悪いうえ、ビジネスニー
ズの変化に合わせた適切な拡張や迅速な対応ができなくなっています。サーバ環境とネット
ワーク環境の仮想化が、ストレージおよびネットワークリソースの利用率の向上に効果を上
げている一方、データセンター内でクラウド・コンピューティングを採用して IT as a service
（ITaaS; サービスとしての IT）を提供すれば、完全な仮想化環境というビジョンが完成すると
考えられます。
ITaaS を採用するうえでの最大の障害は、サーバ、ネットワーク、ストレージをすべて共有リ
ソースとして扱うクラウドベースのインフラ内で、データとアプリケーションをセキュアに
分離できるかどうかの確証が持てないことでした。このニーズに対応するために、 Cisco、
NetApp、 VMWare は共同で、仮想データセンターにおける Secure Multi-tenancy （SMT; セ
キュア・マルチテナンシー）を開発しました。 SMT は次世代のデータセンター実現に向け
て、慎重に設計され、ラボ環境で検証済みのソリューションです。ビジネス上の課題、シス
テムアーキテクチャ、ソリューション設計の詳細については、『仮想データセンターにおける
セキュアマルチテナント環境の設計』
（http://www.cisco.com/en/US/docs/solutions/Enterprise/Data_Center/Virtualization/securecl
dg.html）を参照してください。
米国本社：
Cisco Systems, Inc., 170 West Tasman Drive, San Jose, CA 95134-1706 USA
© 2010 Cisco Systems, Inc. All rights reserved.
この導入ガイドの使用方法
本ドキュメントでは、実装に関する詳細と、ラボで検証したリファレンス設計の例を紹介しま
す。本ドキュメントは、データセンターでのセキュア・マルチテナンシーの導入について説明
しており、次の方を対象としています。
•
データセンター・サーバ・アーキテクト / エンジニア
•
データセンター・ネットワーク・アーキテクト / エンジニア
•
データセンター・ストレージ・アーキテクト / エンジニア
•
データセンター・システム・インテグレータ
この導入ガイドの使用方法
本導入ガイドは、サーバ、ネットワーク、ストレージのアーキテクト / エンジニアを対象に、 4
つのポイントに基づいてマルチテナント環境を導入し、セキュリティ保護するための実装詳細
を説明する構成となっています。
•
セキュアな分離
•
サービス保証
•
可用性
•
管理性
導入トポロジの物理トポロジ図と論理トポロジ図は、仮想データセンター内のさまざまなコン
ポーネント間の接続をおおまかに示したものです。本ドキュメントでは、物理 / 論理接続と設定
に関連する実装の詳細について説明します。
また、本ドキュメントでは、セキュアなマルチテナントインフラの導入、テナントのプロビ
ジョニング、テナントへのビジネス / セキュリティポリシーの適用に必要な手順についても説明
します。こうした手順の実行は、通常デバイスを切り替えながら行います。明確にするため、
すべての具体的な手順とコンソールからの出力の前には、どのインターフェイスを表示してい
るのかを示すタグを付けました。
•
（UCSM） — Cisco UCS Manager インターフェイス
•
（NetApp） — いずれかの NetApp ストレージコントローラを操作するコンソール
•
（Nexus 5000） — Nexus 5000 シリーズスイッチのコンソール
•
（Nexus 7000） — Nexus 7000 シリーズスイッチのコンソール
•
（Nexus 1000V） — Nexus 1000V 仮想スイッチのコンソール
•
（vCenter） — VMware vCenter 管理インターフェイス
•
（MDS） — Cisco MDS-9124 ファブリックスイッチ
付録 A — コマンドリストでは、このソリューションを導入するときに役立つと考えられる、そ
の他の設定情報やコマンドを紹介しています。
付録 B — 参考資料には、本ドキュメントで参照した他のベストプラクティス・ガイドや構成ガ
イドへのリンクを掲載しています。
付録 C — 構成品と検証済みソフトウェアバージョンの一覧表には、このソリューションの導入
に必要な構成品一覧表をソフトウェアのバージョンと併せて掲載しています。
本書の対象読者は、アーキテクチャに導入するそれぞれの製品（Cisco UCS、 VMware など）に
関する実際的な知識を持つことが前提となります。製品に関する具体的な情報の提供や、各コ
ンポーネントの基本的なセットアップの説明は、本ガイドの対象外です。基本的なセットアッ
プについては、それぞれの製品の構成ガイドを参照してください。
2
導入トポロジ
導入トポロジ
物理トポロジ
コンピューティング・レイヤでは、 Cisco UCS によって、コンピューティング・リソースをサ
ポートする管理機能とネットワーキングを統合したユニファイド・コンピューティング環境が
展開されます。 UCS 内では、 VMware の vSphere、 vShield、 vCenter と、 Cisco Nexus 1000V
により、論理オーバーレイとしての仮想化環境が構築されています。すべての UCS B シリーズ
ブレードサーバを、 VMware HA を通じて単一の vSphere ESX クラスタとして構成すれば、
ハードウェア障害や仮想マシンのゲスト・オペレーティング・システムの障害に備えた保護機
能を提供できます。 vCenter Server Heartbeat では、 vCenter によって保護機能が提供され、
ハードウェアとアプリケーションの両方の停止に備えることができます。 vMotion と Storage
vMotion を使用すると、計画的停止時にも、インフラとテナントの両方の仮想マシンで継続し
て可用性を維持できます。さらにまた、 vShield Manager の組み込みのバックアップ機能では、
インフラ全体について定義されたセキュアな分離ポリシーが保護されます。
ネットワークレイヤでは、統合アクセスレイヤのスイッチとして Nexus 5000 を、仮想化され
たアグリゲーションレイヤのスイッチとして Nexus 7000 を使用して、 3 階層のアーキテクチャ
を構築しています。 2 つの UCS 6120 ファブリック・インターコネクトとデュアルファブリッ
ク・トポロジにより、 10 G コンピューティング・レイヤが実現します。エッジレイヤをデュア
ルファブリック・トポロジにすることにより、冗長シャーシ、冗長カード、 Nexus 5000 と
Nexus 7000 による冗長リンクを備えたこの vPC トポロジでは、ループレスのトポロジが形成
されます。
UCS 6120 ファブリック・インターコネクトと NetApp FAS ストレージコントローラはいずれ
も、デュアル 10 ギガビットイーサネットによる EtherChannel 経由で Nexus 5000 アクセスス
イッチに接続されています。 NetApp FAS コントローラには冗長 10 Gb NIC が搭載されており、
2 ポートの仮想インターフェイス（VIF）として構成されています。各 VIF ポートはいずれかの
アップストリーム・スイッチに接続し、 Nexus vPC の機能を利用して、複数のアクティブパス
を提供します。これにより、冗長性と帯域幅が増大すると同時に、必要なポート数を抑えるこ
とができます。
Cisco MDS 9124 は、アクセスレイヤでデュアルファブリック SAN 接続を提供しています。
UCS 6120 と NetApp FAS はどちらも、 Fiber Channel （FC）を介して両方のファブリックに接
続し、 SAN ブートに対応しています。 UCS 6120 はそれぞれのファブリックと単一の FC リン
クで接続されており、各接続が相互に冗長接続の役割を果たします。 NetApp FAS はコント
ローラのデュアル FC ポート経由で MDS 9124 と接続され、完全なメッシュトポロジを構成し
ています。
3
導入トポロジ
図1
物理トポロジ
論理トポロジ
論理トポロジとは、物理トポロジ内に存在する基盤となる仮想コンポーネントと、それらの仮
想接続のことです。
論理アーキテクチャは複数の仮想マシンで構成され、各仮想マシンはインフラとテナントとい
う 2 つのカテゴリに分けられます。インフラ VM は環境の構築と維持のために使用され、テナ
ント VM はテナント・アプリケーションとユーザによって所有、活用されます。すべての VM
の構成ファイルとディスクファイルは、インフラ VM の場合もテナント VM の場合も同様に、
共有の NetApp 仮想ストレージコントローラに保存され、各 ESX ホストの VMkernel インター
フェイスに対して NFS エクスポートとして提供されます。
各種の VMware 仮想インターフェイス、サービスコンソール、 VMkernel、個々の VM インター
フェイスは、 Cisco Nexus 1000V ソフトウェア分散型仮想スイッチに直接接続します。このレ
イヤでは、パケットに適切な VLAN ヘッダーのタグが付加され、すべてのアウトバウンド・ト
ラフィックは、 ESX ホストごとに 2 本用意した 10 Gb イーサネット・アップリンクを通じて
Cisco 6100 に集約されます。インバウンド・トラフィックはすべて、 VLAN ヘッダーを取り除
いたあと、該当する宛先仮想インターフェイスへと転送されます。
各物理 NetApp ストレージコントローラに搭載された 10 Gb イーサネットの 2 つの物理イン
ターフェイスは、単一の仮想インターフェイスに集約されています。この仮想インターフェイ
スはさらに、複数の VLAN インターフェイスに分割され、各 VLAN インターフェイスにはトポ
ロジ全体で使用される固有の VLAN ID が割り当てられます。それぞれの VLAN インターフェイ
スは管理上、特定の IP space と vFiler ユニットに関連付けられます。各 IP space には、 vFiler
ユニットごとに独立した IP ルーティングテーブルが用意されます。 VLAN インターフェイスと
vFiler ユニットは関連付けられているため、それぞれの vFiler ユニットから送信されるすべての
アウトバウンドパケットには、対応する VLAN インターフェイスに固有の適切な VLAN ID のタ
グが付加されます。その結果、特定の VLAN ID を埋め込まれたインバウンド・トラフィックは
4
導入トポロジ
すべて、該当する VLAN インターフェイスへと送信されるため、イーサネット・ストレージ・
プロトコルの種類に関係なくストレージトラフィックをセキュリティ保護できます。また、そ
の VLAN インターフェイスは関連付けられた vFiler ユニットからでないと見えません。
図2
論理トポロジ
5
インフラの導入
インフラの導入
このセクションでは、テナントの受け入れ態勢の整った新しいセキュアマルチテナント環境を
構築するために必要な手順について説明します。
機器をラッキングしたら、図 1 に示したようにイーサネットと FCP ファブリックのケーブルを
接続します。ポートの割り当てをすべてメモしておきます。このメモはあとの手順で必要です。
ネットワークインフラの接続
ネットワークインフラ環境は、 SMT 設計ガイドに説明されているように 3 階層で構成します。
インフラの導入には、以下の設計ガイドで推奨されているベストプラクティスを採用している
ため、本導入ガイドではすべての設定手順については説明しません。ただし、例外や SMT の導
入に関連する特別な変更については説明しています。
•
DC 3.0 インフラ：
http://www.cisco.com/en/US/docs/solutions/Enterprise/Data_Center/DC_3_0/DC-3_0_IPInf
ra.html
•
『SAFE Design Guide』：
http://www.cisco.com/en/US/docs/solutions/Enterprise/Security/SAFE_RG/chap4.html
ネットワークデバイスは、図 1 のように接続します。 VLAN のネーミングと設定は、設計ガイ
ドに従ってください。
論理インフラ接続の設定
インフラ接続は、 SMT に欠かせない設計要件の 1 つである可用性を制御します。 Nexus 7000
は、レイヤ 2 からレイヤ 3 への境界を管理する分散レイヤデバイスとして使用します。ここで
は、管理や Virtual Device Context （VDC; 仮想デバイスコンテキスト）に対するリソースの割り
当てをはじめ、 Nexus 7000 の基本的な設定が済んでいることを前提とします。マルチテナン
シー環境内で VDC を 1 つにするか、複数にするかは、業務上、クライアントやネットワーク管
理にハード面での分割が必要かどうかによって決まります。この環境では、すべてのクライア
ントとインフラ管理に単一の VDC コンテキストを使用します。
vdc sc-7k-1-vdc id 4
allocate interface Ethernet2/13-36
allocate interface Ethernet10/1-24
インフラ管理用 VLAN の設定
インフラデバイスは、適切にセキュリティ保護されたアクセスが可能で、分離されたルーティ
ングを行う VLAN を使用して管理します。 VM とアプリケーションの管理に使用する VLAN は、
インフラ管理用 VLAN とは分離する必要があります。 Cisco のすべてのデバイスは Secure Shell
アクセスに対応しています。 NxOS の管理インターフェイスは、分離された VRF として扱われ
るため、完全に分離されたアウトオブバンド管理インスタンスとなります。
Nexus 7000
vrf context management
ip route 0.0.0.0/0 172.26.155.1
interface mgmt0
description Infrastructure Management
ip address 172.26.155.119/23
6
インフラの導入
Nexus 5000
vrf context management
ip route 0.0.0.0/0 172.26.155.1
ip route 172.26.0.0/16 172.26.155.1
interface mgmt0
description Infrastructure Management
vrf member management
no ip redirects
ip address 172.26.155.193/23
MDS 9216i
interface mgmt0
ip address 172.26.155.52 255.255.254.0
switchport speed 100
同様に、 VRF ベースの管理アクセスをサポートする任意のデバイスを共通のサブネット内に置
くことができます。同じサブネットを、あとで NetApp FAS 6080 コントローラ、 UCS 5100 ブ
レードサーバ管理（KVM）、 UCS 6100 ファイバ・インターコネクトに対する管理接続を有効に
するために使用します。
STP の設定
この導入例では、デフォルトのスパニングツリータイプとして RPVST+ を使用しますが、大規
模な導入の場合は、ネットワークデバイスの論理ポート数の制限という問題を解消するために、
MST ベースのスパニング・ツリー・トポロジを使用することを推奨します。関連する Cisco デ
バイスのドキュメントに記載されている設定ガイドラインを参照してください
（http://www.cisco.com/）。
ポートモードの設定
ステップ 1
Nexus 5000 に接続するすべてのエッジ・エンドポイント・デバイスは「Edge」ポートタイプ
として設定します。その結果、 IOS ベースのデバイスの spanning-tree portfast が置き換えられ
ます。
interface port-channel802
description sc-ucs-1-fab-a
switchport mode trunk
spanning-tree port type edge trunk <--
ステップ 2
すべてのスイッチ間リンク（通常はブリッジ間リンク）は「Network」ポートタイプとして設定
します。
interface port-channel200
switchport mode trunk
switchport trunk allowed vlan << vlan numbers >>
spanning-tree port type network <--
ステップ 3
その他のすべての接続（今回の環境では使用しません）は「Normal」ポートタイプとして設定
します。スパニングツリーでは一般的なリンクとみなされます。
•
ルートブリッジ —Nexus 7000 はレイヤ 2 からレイヤ 3 への境界機能を提供する分散ブロッ
クとして使用します。従来より、ルートブリッジと FHRP （HSRP）がアクティブなルー
ターを一致させることが推奨されていますが、 vPC ベースの設計では、両方の分散ルー
ターがアクティブな HSRP ゲートウェイであるため、プライマリルートと HSRP プライマ
リは一致しなくてもかまいません。ただし、プライマリ・ルート・ブリッジとセカンダリ・
ルート・ブリッジは、分散ルーターで設定してください
7
インフラの導入
•
ブリッジ保証 — すべての NX-OS スイッチは、スパニング・ツリー・ドメインに対して IGP
に似た dead-hello タイマー動作を提供します。ブリッジ保証は、タイプが「network」のす
べてのポート上で BPDU を双方向に伝送します。ポートタイプのグローバルデフォルトを
「network」に設定することを推奨します。デフォルトは「normal」であるため、次の CLI
を使用します
spanning-tree port type network default
•
グローバル BPDU ガード — ループのないネットワークトポロジでは、エッジポートがエン
ドデバイスから BPDU を一切受け取らないようにする必要があります。したがって、エッ
ジポートに BPDU が存在することは、望ましくない STP トポロジを意味し、ネットワーク
内でブロッキングリンク（ループトポロジ）やループストームにつながることがあります。
こうした状態を防止するには、エッジポートに対して BPDU ガードをグローバルで有効に
します。 BPDU を受信すると、ポートは err-disabled 状態に移行します。ポートを
err-disabled 状態から自動的に再度有効にしないことを推奨します
spanning-tree port type edge bpduguard default
•
グローバル BDPU フィルタリング — グローバル BPDU フィルタは BPDU ガードを補完しま
す。グローバルで有効にし、エッジポートの STP を「edge trunk」として設定すると、リ
ンクアップイベントの際に、ポートは 10 ～ 12 の BPDU を送信し、その後 CPU の負荷を軽
減するために停止します。 BPDU を受信すると、ポートは err-disable になります。このた
め、ネットワークのエッジで、ループ防止検出をスケーラブルに実行できます
spanning-tree port type edge bpdufilter default
sc-5k-01(config)# interface ethernet 1/7
sc-5k-01(config-if)# spanning-tree port type edge trunk
メモ
上記の CLI は、ポートレベルの BPDU フィルタリングではありません。ポートレベルの BPDU
フィルタリングは有効にしないでください。
メモ
ブリッジ保証とディスピュート・メカニズムがサポートされているスイッチでは、ループガー
ドは不要になります。
表 1 に、 STP に必要なすべての設定を示します。
表1
STP の設定
Nexus 7000 SC-7K-1-VDC
Nexus 7000 SC-7K-2-VDC
プライマリルート
セカンダリルート
spanning-tree vlan 1-999 priority 24576
spanning-tree vlan 1-999 priority 28672
Nexus 5000 sc-5k-1
Nexus 5000 sc-5k-2
spanning-tree port type edge bpduguard default
spanning-tree port type edge bpduguard default
spanning-tree port type edge bpdufilter default spanning-tree port type edge bpdufilter default
spanning-tree port type network default
spanning-tree port type network default
8
インフラの導入
ネットワークトポロジ接続
設計ガイドでは、 EtherChannel ベースのトポロジですべてのデバイスを接続することのみを推
奨しています。 Virtual Port-Channel （vPC; バーチャル・ポートチャネル）ベースの構成は、
STP ループを使用せず、収束を速めます。この導入例では、 2 層の vPC トポロジを使用しま
す。 vPC 構成は、レイヤ 2 の 1 つの STP トポロジに対応する、単一の論理スイッチを（2 台の
物理ペアから）形成します。 vPC は 2 つのアクティブなコントロールプレーンとフォワーディ
ングを保持します。つまり、 STP が両方のスイッチ上で有効になります。 vPC プライマリス
イッチは BPDU を生成してフラッドさせ、 vPC セカンダリスイッチは受信したすべての BPDU
フレームをピアリンクを介してプライマリスイッチに転送します。 STP プロトコルを無効にし
ないことを強く推奨します。このトポロジは、通常の状況ではループフリーですが、設定ミス
によってループが誤って作成されることがあります。ループが発生した場合に、代替パスをブ
ロックする STP が存在していないと、ネットワーク接続に重大な障害が発生することがありま
す。以下の設定手順では、 vPC の基本的な設定手順、 Nexus 7000 と 5000 の間の 2 層の vPC
について説明します。以下の CLI は、 Nexus 7000 の場合も 5000 の場合も、 2 台ともで有効に
する必要があります。
ステップ 1
vPC 機能を有効にします。
Sc-5k-1(config)# feature vPC
ステップ 2
vPC ドメインを有効にします。ドメイン ID はネットワーク全体で一意である必要があります。
ドメイン番号が LACP システム ID で使用されるためです。 LACP システム ID が一致しないと、
vPC ピアは互いに同期できません。
! Configure the vPC Domain ID - It should be unique within the network
Sc-5k-1(config)# vPC domain 911
! Check the vPC system MAC address
dc11-5020-1# show vPC role
<snip>
vPC system-mac
: 00:23:04:ee:c1:8f<-- 指定するドメインは system-mac （システムの
MAC アドレス）の一部です
ステップ 3
vPC ドメインのプライマリロールとセカンダリロールを有効にします。ロールはドメイン設定
の下で定義します。 vPC ロールは、 2 つの vPC ピアのうち、どちらが BPDU を処理するかを定
義します。 vPC プライマリスイッチは必ずルートブリッジも兼ねるようにすることを推奨しま
す。
sc-5k-1(config-vPC-domain)# role priority ?
<1-65535> Specify priority value
ステップ 4
デュアルアクティブ状態を検出するために、ピアキープアライブを有効にする必要があります。
デュアルアクティブ状態は、両方の vPC ピアリンクがダウンしている場合に発生することがあ
ります。最初にピアキープアライブを設定しないと、 vPC ドメインはアクティブになりません。
ピアキープアライブによって、 vPC ピア間にアウトオブバンド・ハートビートを確立できます。
ピアリンクを介して vPC キープアライブを伝送しないことを強く推奨します。ピアキープアラ
イブはルータブルプロトコルです（Nexus 5000、 Nexus 7000 のどちらでも）。最も重要な設計
要件は、他のすべての vPC トラフィックとは物理的に異なるパスを設けることです。 Nexus
7000 の場合も、 Nexus 5000 の場合も、複数の方法でキープアライブを有効にすることができ
ます。
•
Nexus 7000 ：
– ピア・キープアライブ・リンクに専用の VRF とフロントパネルポートを使用するのがベ
ストの選択です（1 G であれば十分です）
– 管理 VRF の管理インターフェイスを使用します
– ピアキープアライブにアップストリームのレイヤ 3 ネットワークを使用します
9
インフラの導入
mgmt 0 インターフェイスを使用している場合は、スーパーバイザー管理インターフェイ
スをバックツーバックで接続しないでください。デュアル・スーパーバイザー構成の場
合、特定の時点では、 1 つの管理ポートのみがアクティブになります。両方の mgmt 0
ポートを OOB ネットワークに接続します。
メモ
•
Nexus 5000 ：
– 専用リンクを使用するのがベストの選択です。ピアリンクとしては 1 Gb で十分です。
Nexus 5020 の最初の 16 ポートでサポートされています
– 管理 VRF の管理インターフェイスを使用します
– レイヤ 3 インフラを介してルーティング対応インバンド接続を使用します（デフォルト
の VRF の SVI を使用）
この導入ガイドでは、管理インターフェイスを使用してピアキープアライブを有効にしま
す。
vPC domain 999
role priority 10
peer-keepalive destination 172.26.155.118 source 172.26.155.119
vPC ドメインは、 vPC ピアキープアライブに到達できなくなっても機能し続けます。た
だし、機能する vPC 接続を確立するには、初期設定時に vPC ピアキープアライブが動
作している必要があります。
メモ
ステップ 5
vPC ピア間で vPC ピアリンク接続を有効にします。ピアリンクは、ピアスイッチ間で vPC デー
タと、制御トラフィック（STP BPDU、 IGMP の更新など）の両方を伝送します。高可用性を確
保するには、少なくとも 2 つの 10 GbE ポートを設定する必要があります。できれば、別々のラ
インカードまたはラインモジュール上に設定します。同じピアリンク上で、 vPC VLAN と vPC
以外の VLAN を共有しないことを推奨します。 vPC ドメインに参加しているすべての VLAN を
vPC ピアリンクを介して伝送するのがベストプラクティスです。 vPC ピアリンクを介して
VLAN を伝送しないと、接続が中断することがあります。
interface port-channel911
description vPC peer-link
vpc peer-link
spanning-tree port type network <-- ピアリンクポートロールのタイプは「network」にする必要があり
ます
vPC の設定
vPC の導入ガイドライン
整合性チェック —vPC は STP トポロジに単一の論理スイッチを実現しますが、 vPC ドメイン内
の両方のスイッチは別個のコントロールプレーンを維持します。このため、両方のピアスイッ
チ上で特定のシステム設定がまったく同じであるか、同期されている必要があります。現在、
設定の同期は手動で実行する必要があります。自動の整合性チェックを使用して、ネットワー
クが適切に動作していることを確認します。 2 つのタイプのインターフェイス整合性チェックが
有効になっています。
•
10
タイプ 1— インターフェイスを一時停止の状態にして、パケットの不正なフォワーディング
を防止します。タイプ 1 の整合性チェックは、ネットワーク障害を防止するためのもので
す。不一致が検出されると、 vPC は一時停止します（たとえば、グローバル QoS パラメー
タは両方の vPC ピアで一致している必要があります。一致していないと、 VLAN は一時停
止し、ユーザはネットワークにアクセスできなくなります）
インフラの導入
•
タイプ 2— 望ましくないフォワーディング動作の可能性を示すエラーメッセージ。タイプ 2
の整合性チェックは、望ましくないフォワーディングを防止するためのものです。特定の
状況（VLAN の不一致など）に、 vPC が修正されます
vPC ベースのトポロジを導入する場合は、以下の注意事項と推奨事項に従ってください。
•
できれば、 vPC を使用してデバイスを常にデュアル接続してください。シングル接続され
たデバイスは、システム全体の可用性に大きな影響を与え、アプリケーションの応答時間
に影響するトラフィックパターンを作り出して、システムのキャパシティ・プランニング
が複雑になります
•
多層トポロジでは、 vPC ドメイン間の論理リンクは 1 つのみである必要があります（たと
えば、 Nexus 5000 と Nexus 7000 の間のポートチャネルは単一である必要があります。単
一でない場合、ループトポロジが発生します）
•
Nexus 7000 で、初期設定時およびピアリンクに単一のラインカードを使用した接続形態を
とっている場合、アクセス・レイヤ・トラフィックのブラックホールを回避するために、
オブジェクト・トラッキングを使用します
•
Nexus 7000 の vPC 設定で delay restore 360 を有効にし、 vPC とコントロールプレーン収
束を同期します
表 2 は、 2 層の vPC 設定を有効にするために必要なすべての関連設定を示しています。
表2
2 層の vPC 設定を有効にするための設定
Nexus 7000 sc-7k-1-vdc
Nexus 7000 sc-7k-2-vdc
feature vpc
feature vpc
vpc domain 900
vpc domain 900
一意の階層 1 vPC ドメイン
role priority 10
role priority 20
プライオリティが低い方が
優先される、それ以外の場
合は system-mac が優先さ
れる
delay restore 360
delay restore 360
同期のための遅延
peer-keepalive destination
172.26.146.118 source 172.26.146.119
peer-keepalive destination
172.26.146.119 source 172.26.146.118
ピアキープアライブに使用
するネットワーク管理イン
ターフェイス
interface port-channel999
description vPC ISL Links
sc-7k-2-vdc
switchport
switchport mode trunk
vpc peer-link
spanning-tree port type network
interface port-channel999
description vPC peer-links to
sc-7k-1-vdc
switchport
switchport mode trunk
vpc peer-link
spanning-tree port type network
vPC ピアリンク上のすべて
の VLAN を許可
interface Ethernet9/11
switchport
switchport mode trunk
channel-group 999
no shutdown
interface Ethernet9/11
switchport
switchport mode trunk
channel-group 999
no shutdown
interface Ethernet10/11
switchport
switchport mode trunk
channel-group 999
no shutdown
interface Ethernet10/11
switchport
switchport mode trunk
channel-group 999
no shutdown
interface port-channel911
description vPC link to N5K-1 and
N5K-2
switchport
switchport mode trunk
vpc 911
interface port-channel911
description vPC link to N5K-1 and N5K-2
switchport
switchport mode trunk
vpc 911
コメント
Nexus 5000 への階層 2
vPC 接続
11
インフラの導入
表2
2 層の vPC 設定を有効にするための設定
できれば、ピアリンクを
2 枚の別のラインカードに
設定
interface Ethernet10/9
description VPC to N5K-1 andn N5K-2
switchport
switchport mode trunk
channel-group 911 mode active
no shutdown
interface Ethernet10/9
description VPC to N5K-1 andn N5K-2
switchport
switchport mode trunk
channel-group 911 mode active
no shutdown
interface Ethernet9/9
description VPC to N5K-1 andn N5K-2
switchport
switchport mode trunk
channel-group 911 mode active
no shutdown
interface Ethernet9/9
description VPC to N5K-1 andn N5K-2
switchport
switchport mode trunk
channel-group 911 mode active
no shutdown
Nexus 5000 sc-5k-1
Nexus 5000 sc-5k-2
feature vpc
feature vpc
vpc domain 911
vpc domain 911
role priority 10
role priority 20
peer-keepalive destination
172.26.146.194 source 172.26.146.193
peer-keepalive destination
172.26.146.193 source 172.26.146.194
interface port-channel911 description
vPC peer-link sc-5k-2
switchport mode trunk
vpc peer-link
spanning-tree port type network
speed 10000
interface port-channel911
description vPC peer-link sc-5k-1
switchport mode trunk
vpc peer-link
spanning-tree port type network
speed 10000
interface Ethernet2/3
switchport mode trunk
spanning-tree port type network
channel-group 911 mode active
interface Ethernet2/3
switchport mode trunk
spanning-tree port type network
channel-group 911 mode active
interface Ethernet3/3
switchport mode trunk
spanning-tree port type network
channel-group 911 mode active
interface Ethernet3/3
switchport mode trunk
spanning-tree port type network
channel-group 911 mode active
interface port-channel999
description vPC to N7K-1 and N7K-2
switchport mode trunk
vpc 999
interface port-channel999
description vPC to N7K-1 and N7K-2
switchport mode trunk
vpc 999
Nexus 7000 と 5000 の間の
階層 2 vPC 接続
interface Ethernet2/1
description VPC to N7K-1 and N7K-2
switchport mode trunk
channel-group 999 mode active
interface Ethernet2/1
description VPC to N7K-1 and N7K-2
switchport mode trunk
channel-group 999 mode active
Nexus 5000 上の各種ネッ
トワークモジュールを使用
interface Ethernet3/1
description vPC to N7K-1 and N7K-2
switchport mode trunk
channel-group 999 mode active
interface Ethernet3/1
description vPC to N7K-1 and N7K-2
switchport mode trunk
channel-group 999 mode active
コメント
一意の階層 2 vPC ドメイン
vPC ピアリンク上のすべて
の VLAN を許可
以下に、動作可能な vPC 接続状態の出力例を示します。
sc-7k-1-vdc# sh vpc
Legend:
(*) - local vPC is down, forwarding via vPC peer-link
vPC domain id
:
Peer status
:
vPC keep-alive status
:
Configuration consistency status:
vPC role
:
Number of vPCs configured
:
Peer Gateway
:
Dual-active excluded VLANs
:
12
999
peer adjacency formed ok
peer is alive
success
primary, operational secondary
1
Disabled
-
インフラの導入
vPC Peer-link status
--------------------------------------------------------------------id
Port
Status Active vlans
---------- -------------------------------------------------1
Po999 up
1,10-11,125-130,200-201,203,300-301,303,400-401,40
3,900-901
vPC status
---------------------------------------------------------------------id
Port
Status Consistency Reason
Active vlans
---------- ----------- -------------------------- -----------911 Po911 up
success
success
1,10-11,125
-130,200-20
1,203,300-3
01,303,400401,403....
ポートチャネルを使用したエンドデバイスの接続
分散レイヤとアクセスレイヤの間の vPC 接続を定義したら、 vPC ドメインに参加するエンドデ
バイスを設定します。この導入例では、 2 つのクリティカルなエンドデバイス（UCS 6100 と
NetApp FAS-6080）を、両方の Nexus 5000 を接続しているポートチャネルを使用して設定し
ます。
両方の Nexus 5000 で同じ番号のポートチャネルを作成し、ユーザ定義の vPC 番号（できれば
ポートチャネルと同じ番号）を付けます。表 3 は、 2 台の UCS 6100 ファブリック・インター
コネクトを 2 台の Nexus 5000 に、双方でさまざまなネットワークモジュール / ポートを使用し
て接続する設定です。
メモ
Nexus シリーズ・プラットフォームでは、 LACP がデフォルトのポートチャネル・アグリゲー
ション・プロトコルです（サポートされているのは LACP のみです）。 LACP ネイバーには
「active」モードの動作を設定することを強く推奨します。
それぞれのエッジデバイスには、ポートチャネルの設定と有効化に関する固有の設定ガイドラ
インがあります。 UCS 6100 ファイバ・インターコネクトについては、ポートチャネルを使用
したネットワーク接続の手順に従ってください。 NetApp FAS 6080 については、ストレージコ
ントローラの設定の手順に従ってください。
表3
Cisco 6100 ファブリック・インターコネクトの設定
UCS 6100 ファブリック A—sc-ucs-fab-a
sc-5k-1
sc-5k-2
interface port-channel800
description sc-ucs-1-fab-a
switchport mode trunk
vpc 800
spanning-tree port type edge trunk
interface port-channel800
description sc-ucs-1-fab-a
switchport mode trunk
vpc 800
spanning-tree port type edge trunk
interface Ethernet1/1
description sc-ucs-1-fab-a port 2/1
switchport mode trunk
channel-group 800 mode active
interface Ethernet1/1
description sc-ucs-1-fab-a port 2/2
switchport mode trunk
channel-group 800 mode active
コメント
LACP の推奨モー
ドは「active」
13
インフラの導入
表3
Cisco 6100 ファブリック・インターコネクトの設定
UCS 6100 ファブリック B—sc-ucs-fab-b
sc-5k-1
sc-5k-2
interface port-channel802
description sc-ucs-1-fab-b
switchport mode trunk
vpc 802
spanning-tree port type edge trunk
interface port-channel802
description sc-ucs-1-fab-b
switchport mode trunk
vpc 802
spanning-tree port type edge trunk
コメント
interface Ethernet2/3
interface Ethernet2/3
description sc-ucs-1-fab-b port 1/19
description sc-ucs-1-fab-b port 1/19
switchport mode trunk
switchport mode trunk
channel-group 802 mode active
channel-group 802 mode active
VLAN の導入
VLAN の設計と設定管理は、分離を実現し、またゲスト VM からレイヤ 3 の境界までの整合性の
あるワークフローモデルを実現するうえで、重要な役割を果たします。設計ガイドの推奨に従
い、インフラ VLAN とテナント VLAN を分離する設定を行います。 VLAN は命名規則に従って
設定し、テナントのプロビジョニング時に役立つようにします。
この導入例では、個々のトランクポートを介して特定の VLAN を制限することはありま
せん。ただし、必要が生じた場合は、トランクポートごとに switchport trunk allowed vlan イ
ンターフェイス・コマンドを使用して、特定の VLAN を制限できます。
メモ
VLAN 3968 ～ 4047 と 4094 は、各 VDC および Nexus 5000 において内部用に予約されていま
す。
以下のインフラ VLAN を設定する必要があります。
•
管理 VLAN—SMT 環境全体の管理に使用
•
ネットワーク制御 / NFS_Datastore VLAN—SMT 環境内の全仮想ディスクファイルに共通す
るデータストアに使用
•
vMotion VLAN—SMT 環境内で、 ESX ホスト間での VM の移行に使用
インフラ管理用 VLAN の設定
この VLAN は、ルーティングと一元管理が可能な設計になっています。このことは、この
VLAN のすべてのセキュリティポリシーが、 SMT 環境の管理者のみにアクセス権を与えること
で適用されることも意味します。インフラ管理 VLAN では、以下のタイプのトラフィックと接
続を管理します。
•
ネットワークデバイス（Nexus 7000、 Nexus 5000、 MDS 9216i）のすべてのコンソール接
続
•
NetApp コントローラへの GUI アクセスと SSH アクセス
•
UCS 6100 （個別、クラスタの両方）と、各ブレードの KVM アドレス
•
各 ESX サーバのコンソール・インターフェイス（vswif）
•
すべてのインフラアプライアンスと仮想マシン。 Nexus 1000V の管理、 vShield など
以下は、 Nexus 5000 と Nexus 7000 の両方でルーティング対応 VLAN を定義します。
vlan 155
name VM_Con-N1kV-Mgmt_172_26_155
14
インフラの導入
以下は、デフォルトゲートウェイの冗長性を定義するために必要です。
HSRP プライマリの設定：
interface Vlan155
no shutdown
ip address 172.26.155.0.3/22
hsrp 1
authentication text c1sco
preempt delay minimum 180 reload 180
timers 1 3
ip 172.26.155.1
HSRP セカンダリの設定：
interface Vlan155
no shutdown
ip address 172.26.155.0.3/22
hsrp 1
authentication text c1sco
preempt delay minimum 180 reload 180
priority 10
timers 1 3
ip 172.26.155.1
ネットワーク・コントロール・プレーン / NFS データストア VLAN の設定
この VLAN はルーティング対応の VLAN ではありませんが、トラブルシューティングや運用上
の要件から、任意のルーティング非対応 VLAN に IP 接続できるホスト（SNMP リレーとして
機能できるホスト）を用意することを、強く推奨します。独立した IP デバイスがないと、個々
のリソースの接続を検証することや、 SNMP 管理がきわめて困難になります。この VLAN は、
以下の機能を単一の VLAN に統合しています。
•
NFS データストア・トラフィック
•
Nexus 1000V の制御トラフィック
•
Nexus 1000V のパケットトラフィック
NFS データストア VLAN は、それぞれの ESX ホストの VMkernel インターフェイスと、 NFS
エクスポートを含むインフラ vfiler の間での IP 通信を実現するために設定します。 Nexus
1000V の制御トラフィックは、 Virtual Supervisor Module （VSM）と、それぞれの ESX サーバ
に存在する Virtual Ethernet Module の間のレイヤ 2 通信で、 IP アドレス指定は不要です。
vlan 900
name NFS_DataStore-N1K-CtrPkt_100_100
Nexus 1000V での設定手順は、 Nexus 1000V の設定で説明しています。 UCS、 ESX サーバの
設定手順の完了後に実行します。
vMotion VLAN の設定
vMotion VLAN はルーティングされません。それぞれの ESX サーバ上の個別の VMkernel イン
ターフェイスを使用して設定します。
vlan 901
name VMotion_10_100_102
監視用 VLAN
この VLAN は監視に使用するほか、 ERSPAN 機能と SPAN 機能に使用します。
vlan 902
name Remote_Span
15
インフラの導入
ストレージコントローラの設定
NetApp ストレージコントローラのその他のセキュリティに設定については、 TR-3649 『Best
Practices for Secure Configuration of Data ONTAP 7G』
（http://media.netapp.com/documents/tr-3649.pdf）を参照してください。
ステップ 1
『NetApp Installation and Setup Instructions』
（http://now.netapp.com/NOW/knowledge/docs/hardware/hardware_index.shtml）を参照して、
2 台のストレージコントローラを HA ペアとして構成し、ディスクシェルフを適切に接続してい
ること、 2 台のコントローラを HA クラスタケーブルで接続していることを確認します。それぞ
れのコントローラのデュアルポート 10 Gb NIC は、図 1 のようにケーブル接続します。
ステップ 2
『アクティブ / アクティブ構成ガイド』
（http://now.netapp.com/NOW/knowledge/docs/ontap/rel732/）を参照し、コントローラをブー
トしてメンテナンスモードに入り、ディスクの所有権を適切に設定します。コントローラで
Data ONTAP バージョン 7.3.2 が実行されていることを確認します（アップグレードの詳細につ
いては『アップグレードガイド』を参照してください）。
ステップ 3
コントローラをリブートし、セットアッププロセスを完了するために、シリアルコンソールを
使用して各システムに接続します。この手順の詳細については、『ソフトウェア・セットアッ
プ・ガイド』を参照してください。コントローラを初めてブートした場合は、以下の質問が自
動的に表示されます。表示されない場合は、プロンプトで「setup」と入力して、プロセスを開
始します。特に断りのないかぎり、すべての手順は両方のストレージコントローラで実行して
ください。
Please enter the new hostname?[ ]: NetApp1
（2 番目のコントローラの場合は、「NetApp2」と入力してく
ださい）
Do you want to enable IPv6?[ ]: n
Do you want to configure virtual network interfaces?[ ]: y
Number of virtual interfaces to configure?[ ]: 1
Name of virtual interface #1?[ ]: vif0
Is vif0 a single [s], multi [m] or lacp [l] virtual interface?[ ]: l
（小文字の「L」）
Is vif0 to use IP based [i], MAC based [m], Round-robin based [r] or Port based [p] load
balancing?[ ]: i
Number of links for vif0?[ ]: 2
Name of link #1 for vif0?[ ]: e5a
（1 番目の 10 Gb インターフェイス）
Name of link #2 for vif0?[ ]: e5b （2 番目の 10 Gb インターフェイス）
Please enter the IP address for Network Interface vif0 [ ]: （Enter キーを押します）
Should virtual interface vif0 take over a partner virtual interface during failover?[ ]: y
Please enter the partner virtual interface name to be taken over by vif0 [ ]: vif0
Please enter the IP address for Network Interface e0a [ ]: （e0a を個別の管理インターフェイスとし
て使用していないかぎり、 169.254.1.1 のようにプレースホルダー IP アドレスをここに入力してください）
Please enter the netmask for Network Interface e0a [255.0.0.0]: （Enter キーを押します）
Should interface e0a take over a partner virtual interface during failover?[ ]: n
Please enter media type for e0a {100tx-fd, tp-fd, 100tx, tp, auto (10/100/1000)} [auto]:
（Enter キーを押します）
Please enter flow control for e0a {none, receive, send, full} [full]: （Enter キーを押します）
Do you want e0a to support jumbo frames?[ ]: n
Please enter the IP address for Network Interface e0b [ ]: （Enter キーを押します）
Should interface e0b take over a partner IP address during failover?[ ]: n
Please enter the IP address for Network Interface e0c [ ]: （Enter キーを押します）
Should interface e0c take over a partner IP address during failover?[ ]: n
Please enter the IP address for Network Interface e0d [ ]: （Enter キーを押します）
Should interface e0d take over a partner IP address during failover?[ ]: n
Please enter the IP address for Network Interface e0e [ ]: （Enter キーを押します）
Should interface e0e take over a partner IP address during failover?[ ]: n
Please enter the IP address for Network Interface e0f [ ]: （Enter キーを押します）
Should interface e0f take over a partner IP address during failover?[ ]: n
Would you like to continue setup through the web interface?[ ]: n
Please enter the name or IP address of the IPv4 default gateway [ ]: （Enter キーを押します）
Please enter the name or IP address of the administration host: （Enter キーを押します）
Please enter the timezone [ ]: （「US/Eastern」など、該当地域のタイムゾーンを入力してください）
Where is the filer located?[ ]: （あとで参照できるように、コントローラの場所を入力してください）
What language will be used for multi-protocol files?: （Enter キーを押します）
16
インフラの導入
Do you want to run DNS resolver?[ ]: y
Please enter the DNS domain name.[ ]: （ドメイン名をここに入力します）
Please enter the IP address for first nameserver [ ]: （DNS サーバの IP アドレスを入力します）
Do you want another nameserver?[ ]: （必要に応じて「y」を選択し、 DNS サーバの IP アドレスの入力を続け
ます。最大で 3 つまで入力できます）
Do you want to run NIS client?[ ]: n
Would you like to configure the RLM LAN interface?[ ]: y
（RLM LAN インターフェイスは、コント
ローラのアウトオブバンド管理に使用されます。有効にするには「y」と入力します）
Would you like enable DHCP on the RLM LAN interface?[ ]: n
Please enter the IP address for the RLM.[ ]: （RLM インターフェイスに使用する IP アドレスを入力しま
す。ポートは適切な VLAN に接続されている必要があります）
Please enter the netmask for the RLM.[ ]: （RLM インターフェイスのネットマスクを入力します）
Please enter the IP address for the RLM gateway.[ ]: （RLM インターフェイスのゲートウェイを入力し
ます）
Please enter the name or IP address of the mail host.[ ]: （E メール通知を利用するには、 SMTP サー
バのアドレスを入力します）
ステップ 4
コマンドプロンプトが表示されたら（たとえば、「NetApp1>」）、設定を有効にするために、
「reboot」と入力して、コントローラをリブートします。
ステップ 5
コントローラをリブートしたら、購入したすべてのライセンスが有効になっていることを確認
します。「license」と入力して現在の機能をリスト表示し、不足しているライセンスを挿入す
るには、「license add < コード 1> < コード 2>...」と入力します。必須ライセンスのリストに
ついては、このガイドの姉妹ガイドである『仮想データセンターにおけるセキュアマルチテナ
ント環境の設計』の付録 A を参照してください。このセットアップを両方のストレージコント
ローラ上で実行します。
ステップ 6
HA クラスタリングを有効にするには、 NetApp1 のみで「cf enable」と入力します。両方のコ
ントローラ上で「cf status」と入力して、設定を確認します。
NetApp1> cf enable
NetApp1> cf status
Cluster enable, NetApp2 is up.
NetApp2> cf status
Cluster enable, NetApp1 is up.
ステップ 7
次に、すべてのインフラデータとユーザデータを保持するアグリゲートを作成します。このた
めには、まず「aggr status -s」と入力して、現在使用できるスペアディスクの数を確認しま
す。コントローラあたり少なくとも 2 つのスペアディスクを確保し、コントローラ上に 56 ディ
スクを接続するごとにスペアを 1 つ増やすことを推奨します。たとえば、 28 ディスク（2 シェ
ルフ）を接続した場合、スペアとして 2 つのディスクを確保します。ルートボリュームは、常
に 3 ディスクを専有するため、アグリゲートには残り 23 ディスクを使用できます。 112 ディス
ク（8 シェルフ）を接続した場合は、スペアがさらに 2 つ必要になり、スペアは合計で 4 つに
なります。 3 ディスクはルートボリュームに使用され、 105 ディスクをアグリゲートに使用で
きます。このことを踏まえて、「aggr create < アグリゲート名 > < ディスク数 >」と入力し、そ
れぞれのコントローラ上にアグリゲートを作成します。以下の例は 2 シェルフ構成を前提とし
ています。
NetApp1> aggr create aggr1 23
NetApp1> aggr status
Aggr State
aggr0 online
aggr1 online
ステップ 8
Status
raid_dp, aggr
raid_dp, aggr
Options
root
セットアップの間、 vif0 の IP アドレスは省略しました。 IP space と VLAN は最初に設定する必
要があるためです。設定するには、「vlan create < インターフェイス > <vlan>」と入力して、
最初に VLAN を作成します。この例では、インフラ管理へのルーティングアクセスに VLAN
116 を、インフラ・バックエンド・ネットワークに VLAN ID 900 を使用しています。
NetApp1> vlan create vif0 116
vlan: vif0-116 has been created
NetApp1> vlan create vif0 900
vlan: vif0-900 has been created
17
インフラの導入
ステップ 9
VLAN 116 上で、物理ストレージシステムに IP アドレスを割り当てます。
NetApp1> ifconfig vif0-116 10.60.116.41 netmask 255.255.255.0
NetApp1> ifconfig vif0-116
vif0-116: flags=0x3948863<UP,BROADCAST,RUNNING,MULTICAST,TCPCKSUM> mtu 1500
inet 10.60.116.41 netmask 0xffffff00 broadcast 10.60.116.255
partner vif0-116 (not in use)
ether 02:a0:98:08:6a:0c (Enabled virtual interface)
ステップ 10 ping コマンドを使用して、ストレージコントローラからネットワークにアクセスできることを
確認します。また、他のマシンからストレージコントローラに対して ping ができる必要があり
ます。 ping ができない場合は、ケーブル接続、スイッチの設定（LACP vPC、 VLAN など）、コ
ントローラの vif 設定（vif status コマンドを使用）を確認します。リンクが機能するように
なったら、以降の管理はこのインターフェイスを使用して実行できます。
ステップ 11
それぞれのコントローラ上で、 vol create コマンドを使用して、アグリゲート「aggr1」内に
VMware ESX Server FCP ブート LUN を含めるボリュームを作成します。
NetApp1> vol create esx_boot_1 -s none aggr1 500g
NetApp2> vol create esx_boot_2 -s none aggr1 500g
このボリュームは、スペースリザーブなし（-s none）で最大容量は 500 GB です。
ステップ 12
クラウドインフラ向けの他のすべてのストレージは、別の vFiler （インフラ vFiler）で管理しま
す。この vFiler を準備する最初の手順は、 ipspace create コマンドを実行して、インフラ・
バックエンド・トラフィックのための IP space を作成することです。次に、 ipspace assign コ
マンドを使用して、 vif0-900 インターフェイスを新しい IP space に割り当てます。
NetApp1> ipspace create infrastructure
NetApp1> ipspace assign infrastructure vif0-900
NetApp1> ipspace list
Number of ipspaces configured: 2
default-ipspace
(e0a e0b e0c e0d e0e e0f vif0-116)
infrastructure
(vif0-900)
ステップ 13 vol create コマンドを使用して、アグリゲート「aggr1」内に、新しい vFiler のルートとなるボ
リュームを作成します。最後に、「vFiler create <vFiler 名 > -s <ipspace> -i <ip アドレス > <
ルートボリューム >」と入力して、 vFiler そのものを作成します。
NetApp1> vol create infrastructure1_root -s none aggr1 30m
NetApp1> vFiler create infrastructure1 -s infrastructure -i 10.100.101.254
/vol/infrastructure_root
Setting up vFiler temp
Configure vFiler IP address 169.254.1.1?[y]: （Enter キーを押します）
Interface to assign this address to {vif0-900}: vif0-900
Netmask to use: [255.255.254.0]: （適切なネットマスクを入力します）
The administration host is given root access to the filer's
/etc files for system administration.To allow /etc root access
to all NFS clients enter RETURN below.
Please enter the name or IP address of the administration host: （Enter キーを押します）
Do you want to run DNS resolver?[n]: （Enter キーを押します）
Do you want to run NIS client?[n]: （Enter キーを押します）
Default password for root on vFiler temp is "".
New password: （パスワードを入力します）
Retype new password: （パスワードを入力します）
Do you want to setup CIFS?[y]: n
ステップ 14 「infrastructure1」を「infrastructure2」に置き換えて、このプロセスを NetApp2 上で繰り返し
ます。
ステップ 15
これらの vFiler は、 VMware ESX ホストに NFS ストレージを提供する役割を担います。それぞ
れのコントローラのインフラ vFiler 上で、 VMware ESX ホストに NFS ストレージを提供するた
めのボリュームを作成し、次にそのボリュームをインフラ vFiler に割り当てます。
NetApp1> vol create infrastructure1_datastore1 -s none aggr1 500g
Creation of volume 'infrastructure1_datastore1' with size 500g on containing aggregate
'aggr1' has completed.
NetApp1> vFiler add infrastructure1 /vol/infrastructure1_datastore1
18
インフラの導入
WARNING: reassigning storage to another vFiler does not change the
security information on that storage.If the security domains are
not identical, unwanted access may be permitted, and wanted access
may be denied.
NetApp1> vFiler run infrastructure1 vol status
===== infrastructure1
Volume State
Status
Options
infrastructure1_root online
raid_dp, flex
guarantee=none
infrastructure1_datastore1 online
raid_dp, flex
guarantee=none
ステップ 16 次に、インフラ vFiler のコンテキスト内で、 NFS を介してボリュームをエクスポートします。
以下のコードの <ip リスト > を、 NFS バックエンド VLAN 上の ESX ホストの IP アドレスリス
トに置き換えます。リスト内では、アドレスをコロンで区切ります。ホストを追加するときに
エクスポートを編集しないようにするには、代わりにバックエンド VLAN のサブネットを指定
できます（たとえば、「10.100.100.0/22」）。
NetApp1> vFiler context infrastructure1
infrastructure1@NetApp1> exportfs -io sec=sys,rw=<ip リスト >,root=<ip リスト >
/vol/infrastructure1_datastore1
infrastructure1@NetApp1> exportfs
/vol/infrastructure1_root -sec=sys,rw,anon=0
/vol/infrastructure1_datastore1 -sec=sys,rw=<ip リスト >,root=<ip リスト >
ステップ 17 物理ストレージシステムのコンテキストに戻るには、「vFiler context vFiler0」と入力します。
ステップ 18 基本的なインフラが大きな負荷の下でもスムーズに機能するようにするために、 NetApp
FlexShare を設定して、以降に作成するインフラボリュームを優先するようにします。最初に、
FlexShare 優先順位付けシステムを有効にします。
NetApp1> priority on
NetApp1> priority show
Priority scheduler is running.
Priority scheduler system settings:
io_concurrency: 8
enabled_components: all
nvlog_cp_threshold: 50
nvlog_cp_completion: fast
ステップ 19 次に、 esx_boot ボリュームとインフラボリュームを「VeryHigh」優先順位に設定します。
NetApp1> priority set volume infrastructure1_datastore1 level=VeryHigh
NetApp1> priority set volume esx_boot_1 level=VeryHigh
NetApp1> priority show volume
Volume Priority Relative Sys Priority
Service Priority
(vs User)
esx_boot_1
on VeryHigh
Medium
infrastructure1_datastore1
on VeryHigh
Medium
メモ
コマンドラインから設定するとき、 NetApp システム内の一部のネットワーク設定では、
設定がリブートによって消えないようにするために、「/etc/rc」ファイルの編集が必要な
場合があります。詳細については、 NetApp NOW サイト（http://now.netapp.com）を参
照してください。
ステップ 20 前述の手順を NetApp2 上で繰り返します。このように設定すると、大きな負荷がかかっても、
クラウド全体のパフォーマンスへの影響が限定的になります。
ここまでで、ストレージコントローラでは、 NFS データストア、 FCP ブート LUN、テナント
データサービス（テナントごとの vFiler 経由）を提供する準備が整いました。
19
インフラの導入
Unified Computing System
このセクションでは、 UCS の設定手順について、それぞれの手順を実行する理由を簡単に添
えながら説明します。それぞれの操作の段階を追った手順説明は、本ドキュメントでは扱いま
せん。『Cisco UCS Manager GUI Configuration Guide』
（http://www.cisco.com/en/US/partner/docs/unified_computing/ucs/sw/cli/config/guide/b_CLI_C
onfig_Guide.html）を参照してください。
ケーブル接続や、ネットワークとシャーシの初期構成をはじめとする、 UCS システムの初期
セットアップも、本ドキュメントの対象外です。そうした手順については、上記の URL に紹介
されている他のドキュメントで説明されています。
特に断りのないかぎり、すべての手順は UCS Manager の Java GUI を使用して実行します。
UCS を実装する際のベストプラクティスは、最初に Organization、リソースプール、ポリシー、
テンプレートなどの要素を設計しておくことです。この流れを図 3 に図示しています。サービ
ス・プロファイル・テンプレートには、アップデートと初期の 2 つのタイプがあります。初期
テンプレートは、元のテンプレートに変更を加えても、テンプレートから作成されたサービス
プロファイルは変更されないという点において、概して管理が容易です。アップデート・テン
プレートの場合、変更を加えると、このテンプレートを基に作成されたサービスプロファイル
がすぐに更新されます。使用例や、テンプレートに加えた変更の性質によって、望ましいこと
もあれば、望ましくないこともあるでしょう。この SMT 設計では、初期テンプレートを使用し
ました。
図 3 は、作業の全体的な流れをおおまかにまとめたものです。それぞれの作業項目については、
このセクションで詳しく説明します。図 3 の目的は、どの手順と作業が、以降の作業に「情報
を提供する」かを示すことです。流れの方向は左から右です。この図から、サービス・プロ
ファイル・テンプレートが重要な構造であることがすぐにわかります。サービス・プロファイ
ル・テンプレートをいったん作成すると、新しいサービスプロファイルやサーバを短時間で作
成してプロビジョニングすることができます。図 3 は、公開されているすべての UCS ポリシー
と機能を示しているわけではありません。全体的な処理の流れの目安を提供することを目的と
しています。
最後の手順である、サービス・プロファイル・テンプレートからのサービスプロファイルの作
成は、きわめて簡単です。テンプレートに提供したすべての属性が自動的に情報源として使用
され、適切なサービスプロファイルが適切なブレードに関連付けられて、ブレードに電源が投
入され、指定したブートポリシーに従ってブートされるからです。セキュア・マルチテナン
シーの概念は、テナントごと、またはテナントのサブクラスごとにサービスプロファイルを用
意することです。中央にあるテンプレート作業のボックスの左にあるアイテムは、 1 回操作する
だけです。特定のテナントに新しいコンピュートノードを作成するには、そのテナントの既存
のテンプレートから別のサービスプロファイルを作成するだけ済みます。
20
インフラの導入
図3
UCS Manager のおおまかな流れ
以下のセクションでは、 UCS Manager の各操作タブで実行する手順について概説します。手順
のだいたいの流れと考えてください。説明をわかりやすくするために、一部の手順ではスク
リーンショットを示していますが、すべての画面について順を追って説明することは、本ド
キュメントの範囲外です。
インフラの初期セットアップ
SMT アーキテクチャで使用する UCS ハードウェア・コンポーネント
すべてのハードウェア・コンポーネントについて詳しく説明することは、本ドキュメントの対
象外です。各 UCS コンポーネントの詳しいドキュメントは、
http://www.cisco.com/en/US/docs/unified_computing/ucs/overview/guide/UCS_roadmap.html
をご覧ください。
B200 M1 ブレード
このハーフ幅のブレードを SMT の設計と検証テストに使用しました。ブレードには、 48 GB の
メモリと 1 枚の I / O メザニンカードを装着しました。 2.93 MHz CPU を使用しました。 5108
UCS シャーシに 8 個のブレードを実装しました。
21
インフラの導入
6120 ファブリック・インターコネクト
1 組の 6120 ファブリック・インターコネクトをテストに使用し、 HA ペアに構成しました。ス
トレージへの FC 接続は、グローバル拡張モジュールを使用して確立しました。 20 の固定 10
GbE ポートの一部をアップストリームの Nexus スイッチへの接続に使用しました。以下は、論
理トポロジと物理トポロジを視覚的に把握できる、 UCS Manager GUI の「ハイブリッド表示」
です。
図4
6120 ファブリック・インターコネクトのトポロジ
I / O メザニンカード
このプロジェクトに使用した I / O カードは、 Cisco Converged Network Adapter （CNA; 統合
ネットワークアダプタ） M71KR - Q です。オペレーティング・システムからは、 2 つの HBA と
2 つの 10 GbE NIC として認識されます。それぞれのファブリック・インターコネクト（FI）に
1 つのポート、つまり NIC / HBA を割り当てました。このカードは、標準的なイーサネット・
ネットワークとファイバチャネル SAN ネットワークにシームレスに組み込まれます。
LAN の設定（[LAN] タブ）
Organization の作成
マルチテナント環境で UCS を使用する最初の手順は、 Organization の概念を利用することで
す。いったん UCS 階層の最上位（root）に対して Organization を作成すると、以下に示すあと
のすべての手順はその Organization の「下」で実行されます。この手順は必須ではありません
が、さまざまなテナント間でリソースやポリシーを非常に容易に分離できるようになります。
「csco_eselab_sc」という名前の Organization を作成します。この Organization の下で、他の
すべてが構成され、自動的に関連付けられます。
22
インフラの導入
MAC プール
2 つの MAC プールを作成し、ファブリック・インターコネクト（FI）ごとに 1 つ使用します。
ファブリック・インターコネクトは、 UCS の用語に倣い、本ドキュメントでも以降はファブ
リック「A」とファブリック「B」と呼びます。 UCS Manager が提供するデフォルトの OUI を
使用し、一部を変更して、それぞれのファブリックを 1A:、 1B: という命名規則を使用して指定
します。次に、図 3 に示しているように、別々の MAC プールを基に異なる vNIC テンプレート
を作成します。ファブリックごとに別のプールとテンプレートを用意することで、このアーキ
テクチャをエンドツーエンドで構築するためにクリティカルな、トラフィック・エンジニアリ
ングが容易になります。 Nexus 1000V とこのトラフィック・エンジニアリングを併用すること
で、 SMT 管理者は、最初にテナントを特定のファブリックに配置できます。図 5 は、作成され
た MAC プールの例を示しています。
図5
作成された MAC プール
強調表示部分からわかるように、 MAC アドレスのブロックを作成した際に、 2 つのファブリッ
クに「A」と「B」という命名規則を使用しています。この命名規則によって、すべての環境が
本番稼働に入ったあとのトラブルシューティングが容易になります。
VLAN
このインフラ全体で、約 20 の異なる VLAN を作成して使用します。 VLAN の作成はきわめて簡
単です。名前と関連する ID 値を指定するだけです。それぞれの VLAN は、各ファブリックに割
り当てられるため、 6120 FI のいずれかに障害が発生した場合に、パートナーシステムがすべて
の VLAN トラフィックにサービスを提供することができます。 VLAN は、 vNIC テンプレートの
作成時に異なるファブリックに割り当てられます。このため、それぞれのネットワークで独立
したファブリックリソースを使用でき、システム全体で負荷分散が最適化されます。また、異
なるテナントのトラフィックをファブリックレベルで分離したい場合に、手動で分離すること
ができます。 UCS Manager のリビジョンが 1.0 （2d）以降の場合、 VLAN の変更はきわめて簡
単です（GUI ボタン 1 つで可能）。ただし、本ドキュメントで使用しているバージョン
（1.0[1e]）の場合、 GUI を使用して既存の VLAN の変更を表示できません。 CLI を使用して、ク
ラスタの IP アドレスに SSH 接続して取得します。
23
インフラの導入
以下のコマンドは、既存のサービスプロファイルに新しい VLAN を追加する方法を示していま
す。この操作にはリブートは不要です。
#
#
#
#
#
scope org csco_eselab_sc
scope service-profile sp_netapp11
scope vnic vNIC1
create eth-if MKT_Bulk
commit-buffer
vNIC テンプレート
ポリシーに基づき、ファブリックごとに 1 つずつ、 2 つの異なる vNIC テンプレートを作成しま
す。図 6 と図 7 は、それぞれのテンプレートがどの MAC プールを利用するかの割り当てと、含
まれる VLAN を示しています。設計上、ファブリック間のトラフィックのフェイルオーバーを
Nexus 1000V で処理するよう決定したため、 [Enable Failover] オプションは選択していません。
これはベストプラクティスとみなされています。 vNIC テンプレートは、あとでサービス・プロ
ファイル・テンプレートの作成時に使用され、 vNIC の接続モデルと属性が自動的に定義されま
す。これは、この手順ですでに設計済みだからです。
図6
vNIC テンプレートの MAC プール
図 7 は、テストで使用したすべての VLAN を示しています。特定のインターフェイスまたは
ポート上の特定の VLAN のトラフィック・エンジニアリングには、 Nexus 1000V を使用しまし
た。 UCS から見ると、 VLAN は両方のファブリック上に存在するように設定されています。そ
のため、すべての VLAN の Fabric ID は「dual」になっています。
24
インフラの導入
図7
テストで使用した VLAN
既存の vNIC テンプレートに VLAN を追加する CLI シーケンスを以下に示します。新しいリ
リースでは、既存の vNIC テンプレートへの VLAN の追加が簡単になりました。 GUI からワン
クリックで実行できます。
sc-ucs-1-A# scope org csco_eselab_sc
sc-ucs-1-A /org # show vnic-templ
vNIC Template:
Name
Fabric ID
-------------------- --------csco_eselab_sc/sc-vNIC-Tmp_FI_B
B A
csco_eselab_sc/sc-vNIC_Tmp_FI_A
A B
csco_eselab_sc/vnic_temp_FI_A
A B
csco_eselab_sc/vnic_temp_FI_B
B A
csco_eselab_sc/vnic_temp_updtng
A
sc-ucs-1-A /org # scope vnic-templ sc-vNIC_Tmp_FI_A
sc-ucs-1-A /org/vnic-templ # create eth-if MKT_Bulk
sc-ucs-1-A /org/vnic-templ* # commit-buffer
ポートチャネルを使用したネットワーク接続
ポートチャネルを作成し、ファブリックごとにそれぞれの 6120 上の専用のアップリンクポー
トを使用して有効にします。ポートチャネルの範囲はグローバルであり、特定の Organization
とは関連付けられません。次に、ポートチャネルを、図 1 のようにアップストリームの Nexus
5000 と接続します。 UCS のポートチャネルのデフォルトモードは、 LACP アクティブ / アク
ティブです。
25
インフラの導入
図8
ポートチャネルの設定
QoS システムクラスの定義
QoS クラスの定義は、 Nexus 1000v によってマーキングされた CoS 値に一致するように設計し
ます。各 VM ゲストからの CoS 値は、 UCS システムクラス定義によって実行され、関連付けら
れたマッピングに従って定義済みの比較帯域幅が確保されます。アップストリームの Nexus
5000 QoS の設定も、 UCS での定義と一致し、整合性がとれるように設計します。 vNIC ポリ
シーをサービスプロファイルに関連付ける必要はありません。 CoS マーキングが Nexus 1000V
のレベルですでに行われており、 UCS は帯域幅の確保のみを管理すれば済むためです。 UCS シ
ステムは、あるセグメント上のトラフィックが飽和状態（10 GbE）に近づいた場合、特定の
CoS で使用できる帯域幅の量を制御することで、 CoS 値を順守します。ユーザが定義した重み
付けを表す整数は、パーセンテージに自動で変換されるため、比較帯域幅を簡単に計算できま
す。図 9 は、 SMT テストで使用した値と関連付けられた重み付けを示しています。
図9
テストで使用した値と関連付けられた重み付け
SAN の設定（[SAN] タブ）
World Wide Node Name （WWNN）プール
システム内のすべてのブレードに対して、単一の WWNN プールを作成します。このプールは親
FC デバイスノード（カードそのもの）のプールであるため、ファブリックごとに 1 つずつ作成
する必要はありません。 WWNN プールの作成については、図 3 を参照してください。
26
インフラの導入
World Wide Port Name （WWPN）プール
CNA 上の 2 つのポートそれぞれに対応する、 2 つの WWPN プールを作成します。 WWPN は、
vHBA テンプレートの作成時に CNA 上のポートに割り当てられます。ベストプラクティスに従
い、 OUI プレフィックスの先頭を 20 にするという命名規則を使用してください。これは、ファ
イバチャネル SAN のホストイニシエータに共通の規則です。
WWPN の命名規則と具体的な値は、 NetApp ストレージコントローラと調整されます。そのた
め、ホストの WWPN は、ストレージコントローラのイニシエータグループ内で定義され、
LUN マスキングが正しく割り当てられるようになります。これは、 SAN ブートだけでなく、
データアクセス全般においても重要です。本ドキュメントを通して使用している、 A 側と B 側
のファブリックの命名規則は、図 10 で強調表示している箇所からも確認できます。
図 10
World Wide Port Name プールの設定
VSAN
デフォルトの VSAN に加えて 2 つの VSAN を作成して、 FC のトラフィック・エンジニアリン
グが行われるようにし、異なる VSAN を異なるアップストリーム MDS FC スイッチに割り当て
ます。このようにすると、 2 つの異なる NetApp ストレージコントローラ間で ESX ブートトラ
フィックを手動で分散することもできます。このアーキテクチャでは、 ESX ブートトラフィッ
クには FC ストレージのみを使用しています。
図 11
VSAN の設定
27
インフラの導入
vHBA テンプレート
ファブリックごとに 1 つずつ、 2 つの vHBA テンプレートを作成します。テンプレートは、対応
する WWPN プール（前述）を利用して作成します。
図 12
vHBA テンプレートの設定
VSAN への FC アップリンクの割り当て（[Equipment] タブ）
UCS-M の [Equipment] タブで、この構成で使用するそれぞれの FC アップリンクを適切な
VSAN に割り当てます。
図 13
VSAN への FC アップリンクの割り当て設定
サーバの設定（[Servers] タブ）
サーバプール
2 つのサーバプールを作成します。それぞれに 4 つのブレードを含めます。これは、 4 つのブ
レードを 1 つの NetApp コントローラからブートし、残りをもう 1 つのコントローラからブー
トするという構成を前提としています。このため、サービスプロファイルとブートポリシーが 1
対 1 でマッピングされている場合、 2 つの異なるブートポリシーの調整が必要になります。図 3
に図解しています。 SMT では、それぞれのテナントは異なるプールからサーバを利用できるた
め、テナントごとに適切な物理ブレードが使用されます。
28
インフラの導入
図 14
サーバプールの設定
ブートポリシー
2 つのコントローラ間でブレードのブートを円滑に分散するために、 2 つの異なるブートポリ
シーを作成します。ブートポリシーでは、プライマリ / セカンダリで使用する HBA、 WWN の
接続先ターゲット、使用する LUN ID を指定します。
図 15
ブートポリシー 1 の設定
図 16
ブートポリシー 2 の設定
29
インフラの導入
図 15 と図 16 の黄色で強調した部分は、プライマリブートパスとセカンダリブートパスの違い
を示しています。この違いによって、あるサーバの BIOS は、ブート場所として指定された
WWPN ターゲットを最初に使用し、使用できない場合はセカンダリにフォールバックします。
異なるポリシーを用意することで、ファブリック・インターコネクト間のブートトラフィック
を分散することができます。
あとでサービス・プロファイル・テンプレートと、関連付けられた個々のサービスプロファイ
ルが作成される際、図 17 に示しているようにこのブートポリシーが使用されます。
図 17
サービス・プロファイル・テンプレートのブートポリシー設定
FC アダプタポリシー
詳細な FC アダプタポリシーを作成し、 NetApp コントローラを ESX 4.0 ハイパーバイザーと組
み合わせてクラスタモードで使用する場合に推奨されているエラー処理のタイミングを設定し
ます。このポリシーは、あとでサービス・プロファイル・テンプレートに割り当てられるため、
テンプレートから作成されるすべてのサービスプロファイルに使用されます。
図 18
30
FC アダプタポリシーの設定
インフラの導入
サービス・プロファイル・テンプレート
異なるブートポリシーを使用する（前述）ため、 2 つの異なるサービス・プロファイル・テン
プレートを作成する必要があります。サービスプロファイルに関連付けられたブートポリシー
は特定の時点において 1 つのみ存在できるため、コントローラにわたってブートトラフィック
を分散するには、テンプレートを 2 組作成します。サービス・プロファイル・テンプレートは、
UCS から見た場合、 SMT 設計の要と言うことができます。
テンプレートでは、これまで説明したすべての作業内容を利用して、 vNIC、 vHBA、サーバ
プール、アダプタポリシーなどを定義します。したがって、テンプレートのすべての詳細を定
義するのは簡単です。設計作業は vNIC テンプレートの作成手順などですでに完了しており、
その内容がこのテンプレートの作成時に情報源として使用されるからです。
図 19
サービス・プロファイル・テンプレートの設定
テンプレートからのサービスプロファイルの作成
実際のサービスプロファイルを作成する「最後」の手順では、サービスプロファイルがそれぞ
れのブレードに物理的に関連付けられ、ブレードが使用できるようになります。この手順は、 2
つのテンプレートそれぞれから、 4 つのサービスプロファイルを作成するだけで完了します。
これは GUI から起動するだけの簡単な手順（図 21 参照）ですが、これまでに作業した内容が
すべて利用され、作成した関連付けや参照の階層をたどります。結果として全部で 8 つのサー
ビスプロファイルが作成され、 8 つのブレードそれぞれと関連付けられ、それぞれのブレード
にすべてのトラフィック・エンジニアリングが適切に割り当てられます。
図 20
テンプレートからのサービスプロファイルの作成 —1
31
インフラの導入
図 21
テンプレートからのサービスプロファイルの作成 —2
図 22 は、システム、およびサービスプロファイルとブレード間の関連付けの概要です。サービ
スプロファイルの横の青で示された「sys/chassis-1/blade-x」は、その物理ブレードでそのプロ
ファイルがアクティブであることを示します。
図 22
サービスプロファイルの概要
SAN ブートのセットアップ
このセクションでは、環境内の SAN ブート ESX ホストに使用するブートファブリックをセッ
トアップするにあたっての設定手順を説明します。ファブリック内のリンクとパスの両方を冗
長化するのが、 SAN 設計のベストプラクティスです。したがって、 2 つの MDS スイッチでは、
冗長性と高可用性を確保する設定手順を実行します。 UCS のファブリック A はプライマリ
MDS スイッチに接続し、ファブリック B はセカンダリ MDS スイッチに接続します。物理イン
フラを論理的に分離するために VSAN を使用します。プライマリファブリックは VSAN 100 に、
セカンダリファブリックは VSAN 101 にアクセスするように設定します。 NetApp コントローラ
32
インフラの導入
は、アクティブ / パッシブ構成で両方のファブリックに接続します。負荷分散のために、ホスト
はどちらかの NetApp コントローラから交互にブートオフします。ケーブル接続と VSAN のレ
イアウトを図 23 に示します。
図 23
SAN ブートのセットアップ
設定手順
SAN ファブリックについては、お客様の環境ごとに独自の可変要素が多数あると考えられま
す。したがって、 SAN スイッチの初期セットアップについては、本ドキュメントでは扱いま
せん。代わりに、 ESX の SAN ブートに固有の側面について詳しく説明します。冗長化した機
器上で操作を実行する必要がある場合は、その旨記載しますが、特に断りのないかぎり、設定例
は、ファブリック A についてのみ示します。明確にするために、各手順の先頭に対象の機器を
示します。
SAN 接続の確認
以下の手順に従って、 SAN 内での接続を UCSM、 MDS スイッチ、 NetApp コントローラ上で確
認します。
ステップ 1
（UCSM） MDS ファブリックへの接続を確認します。
前の手順で、 UCSM 内のファイバ・チャネル・アップリンク・ポートをプライマリ / セカンダ
リ VSAN に割り当てました。 UCSM の [SAN] タブでそのアップリンクポートが「up」になっ
ていることを確認します。
ステップ 2
（NetApp） MDS ファブリックへの接続を有効にします。
ファイバチャネルのライセンスは初期セットアップで取得されています。両方の NetApp コン
トローラ上で、 fcp start コマンドを使用して、接続を有効にします。
NetApp1> fcp start
NetApp1> fcp status
FCP service is running
ステップ 3
（MDS） UCS ファブリック・インターコネクトへの接続を確認します。
両方のファブリックスイッチ上で NPIV を有効にします。
mds9124-fabA# config t
mds9124-fabA(config)# npiv enable
ステップ 4
（MDS）環境内で使用する VSAN を作成し、ターゲットポートとサーバポートを関連付けます。
この例では、各スイッチ上のポート fc1/1 ～ 4 が、両方の UCS と、両方の NetApp ストレージ
コントローラへの接続に対応します。 VSAN 100 はプライマリファブリックに、 VSAN 101 は
セカンダリに使用します。
33
インフラの導入
mds9124-fabA# config t
mds9124-fabA(config)# vsan database
mds9124-fabA(config-vsan-db)# vsan 100
mds9124-fabA(config-vsan-db)# vsan 100
mds9124-fabB# config t
mds9124-fabB(config)# vsan database
mds9124-fabB(config-vsan-db)# vsan 101
mds9124-fabB(config-vsan-db)# vsan 101
ステップ 5
name fc_boot_primary
interface fc1/1,fc1/2,fc1/3,fc1/4
name fc_boot_secondary
interface fc1/1,fc1/2,fc1/3,fc1/4
（MDS）両方のファブリックスイッチ上で、環境内で使用するポートを設定し、説明を割り当て
ます。
この例では、 NetApp FCP ポート 0h をプライマリファブリックに、 0d をセカンダリファブリッ
クに使用しています。
mds9124-fabA(config)# int fc1/1
mds9124-fabA(config-if)# switchport
mds9124-fabA(config-if)# int fc1/2
mds9124-fabA(config-if)# switchport
mds9124-fabA(config-if)# int fc1/3
mds9124-fabA(config-if)# switchport
mds9124-fabA(config-if)# int fc1/4
mds9124-fabA(config-if)# switchport
mds9124-fabA(config)# int fc1/1-4
mds9124-fabA(config-if)# no shut
ステップ 6
description ucs-fabA-fc2/1
description ucs-fabA-fc2/2
description ntap1-0h
description ntap2-0h
（MDS）設定と将来のトラブルシューティングを容易にするために、環境内でデバイスエイリア
スを作成します。
デバイスエイリアスは、ホストまたはターゲットの単一の WWPN を表します。以下の設定は、
両方のファブリックスイッチ上で、環境内の各ホストと各ターゲットに対して実行します。以
下の例は、 1 つのホストと 1 つのターゲットを示しています。
mds9124-fabA# config t
Enter configuration commands, one per line.End with CNTL/Z.
mds9124-fabA(config)# device-alias database
mds9124-fabA(config-device-alias-db)# device-alias name sc-ntap1-host1 pwwn
20:aa:bb:cc:dd:ee:ff:1f
mds9124-fabA(config-device-alias-db)# device-alias name ntap1-0h pwwn
50:0a:09:82:87:d9:80:34
mds9124-fabA(config-device-alias-db)# device-alias commit
mds9124-fabA(config-device-alias-db)# end
ステップ 7
（MDS）両方のファブリックスイッチ上で接続を確認します。
mds9124-fabA# show fcns database
VSAN 100:
----------------------------------------------------------------------------FCID
TYPE PWWN
(VENDOR)
FC4-TYPE:FEATURE
----------------------------------------------------------------------------0xdb0000
N
50:0a:09:82:87:d9:80:34 (NetApp)
scsi-fcp:target
[ntap1-0h]
0xdb0100
N
50:0a:09:82:97:d9:80:34 (NetApp)
scsi-fcp:target
[ntap2-0h]
0xdb0200
N
20:42:00:0d:ec:b4:b5:40 (Cisco)
npv
0xdb0202
N
20:aa:bb:cc:dd:ee:ff:1f
scsi-fcp:init
[sc-ntap1-host1]
0xdb0204
N
20:aa:bb:cc:dd:ee:ff:1c
scsi-fcp:init
[sc-ntap1-host4]
0xdb020f
N
20:aa:bb:cc:dd:ee:ff:1b
scsi-fcp:init
[sc-ntap2-host1]
0xdb0300
N
20:41:00:0d:ec:b4:b5:40 (Cisco)
npv
0xdb0308
N
20:aa:bb:cc:dd:ee:ff:1a
scsi-fcp:init
[sc-ntap2-host2]
34
インフラの導入
0xdb030f
N
0xdb0310
N
0xdb0317
N
20:aa:bb:cc:dd:ee:ff:1d
[sc-ntap1-host3]
20:aa:bb:cc:dd:ee:ff:1e
[sc-ntap1-host2]
20:aa:bb:cc:dd:ee:ff:08
[sc-ntap2-host4]
scsi-fcp:init
scsi-fcp:init
scsi-fcp:init
プライマリブートパスの設定
ESX ホストのプライマリブートパスを設定します。それぞれの ESX ホストに対してゾーンを 1
つ作成します。ゾーンには、ホストイニシエータと NetApp ターゲットのデバイスエイリアス
が含まれます。
ステップ 1
（MDS）それぞれの ESX ホストに対してゾーンを作成します。
mds9124-fabA# config t
mds9124-fabA(config)# zone name sc-ntap1-host1 vsan 100
mds9124-fabA(config-zone)# member device-alias sc-ntap1-host1
mds9124-fabA(config-zone)# member device-alias ntap1-0h
ステップ 2
（MDS）作成したすべてのゾーンを含むゾーンセットを設定して有効にします。
mds9124-fabA# config t
mds9124-fabA(config-zone)# zoneset name sc-ntap-boot vsan 100
mds9124-fabA(config-zoneset)# member sc-ntap1-host1
mds9124-fabA(config-zoneset)# zoneset activate name sc-ntap-boot vsan 100
Zoneset activation initiated.check zone status
セカンダリブートパスの設定
ESX ホストのセカンダリブートパスを設定します。プライマリブートパスの場合と同様に、そ
れぞれの ESX ホストは、 1 つのイニシエータと 1 つのターゲットが含まれる、対応するゾーン
を持ちます。
ステップ 1
（MDS）それぞれの ESX ホストに対してゾーンを作成します。
mds9124-fabB# config t
mds9124-fabB(config)# zone name sc-ntap1-host1 vsan 101
mds9124-fabB(config-zone)# member device-alias sc-ntap1-host1
mds9124-fabB(config-zone)# member device-alias ntap1-0d
ステップ 2
（MDS）作成したすべてのゾーンを含むゾーンセットを設定して有効にします。
mds9124-fabB# config t
mds9124-fabB(config-zone)# zoneset name sc-ntap-boot vsan 101
mds9124-fabB(config-zoneset)# member sc-ntap1-host1
mds9124-fabB(config-zoneset)# zoneset activate name sc-ntap-boot vsan 101
Zoneset activation initiated.check zone status
35
インフラの導入
ブートターゲット情報の設定
NetApp ストレージアレイ上でターゲット LUN を作成し、マッピングします。
ステップ 1
（NetApp）環境内のすべてのホストの両 vHBA ポートに対応するイニシエータを作成します。
ターゲットの設定に負荷分散を採用します。ホストの半分は 1 番目のコントローラを使用し、
残りの半分は 2 番目のコントローラを使用します。
コマンドの構文： igroup create { -f | -i } -t <OS タイプ > [ -a < ポートセット > ] < イニシエータ
グループ > [ < ノード > ... ]
NetApp1> igroup create -f -t vmware sc-ntap1-host1_A 20:aa:bb:cc:dd:ee:ff:1f
NetApp1> igroup create -f -t vmware sc-ntap1-host1_B 20:aa:bb:cc:dd:ee:ff:0f
ステップ 2
（NetApp）特定のターゲットに接続するすべてのホストのブートストレージを作成します。
コマンドの構文： lun create -s < サイズ > -t <OS タイプ > [ -o noreserve ] 
[ -e space_alloc ] <LUN のパス >
NetApp1> lun create -s 15g -t vmware -o noreserve /vol/esx_boot_1/sc-ntap1-host1
ステップ 3
（NetApp）特定のホストのイニシエータを LUN ID が 0 の割り当て済みブートストレージにマッ
ピングします。
コマンドの構文例： lun map [ -f ] <LUN のパス > < イニシエータグループ > [ <LUN ID> ]
NetApp1> lun map /vol/esx_boot_1/sc-ntap1-host1 sc-ntap1-host1_A 0
NetApp1> lun map /vol/esx_boot_1/sc-ntap1-host1 sc-ntap1-host1_B 0
VMware ESX のインストール
ブレードに VMware ESX を導入するために、 PXE ブート・インストール・サーバを導入できま
す。この戦略によって以下の要件が満たされます。
•
IP アドレスのナンバリングとシャーシ / ブレードのナンバリングが互いに関連付けられ、明
示的に文書化される
•
IP アドレスは静的に設定されるが、単一の設定ポイントを持てる
•
インストールに使用するネットワークがプライベートで、ルーティングされず、本番のトラ
フィックから論理的に分離される
•
既存のブレードへの ESX の再インストールや、新しいブレードの追加が容易である
これらを満たすには、以下の手順を実行します。
1.
最初のホストに VMware ESX をインストールします。
2.
PXE インストーラとなる VM を作成します。
3.
その VM を DHCP / TFTP / HTTP サーバとして設定します。
4.
最初の ESX ホストから kickstart 構成ファイルを取得し、変更します。
5.
ESX をインストールするために残りのホストをブートします。
以上の手順について、以下で詳しく説明します。 PXE ブートサーバの使用は任意です。各ブ
レードで、最初のホストでの ESX のインストールの手順を繰り返すことで、各ブレードに ESX
を手動でインストールできます。
36
インフラの導入
最初のホストでの ESX のインストール
ステップ 1
Cisco UCS Manager のインターフェイスを使用して、プロトタイプホストとして使用するブ
レードとの KVM コンソールセッションを起動します。
ステップ 2
コンソールが起動されたら、 [Tools]、 [Launch Virtual Media] の順にアクセスし、 [Add
Image...] ボタンをクリックして、 [ESX 4.0 installation DVD] を選択します。
ステップ 3
新しく追加されたイメージの横の [Mapped] チェックボックスをオンにします。
ステップ 4
UCS Manager を使用してホストをリブートします。 KVM コンソールで、 BIOS に F6 を押すよ
うに求めるプロンプトが表示されたら、このキーを押してブートメニューを表示します。
[Cisco Virtual CD/DVD] デバイスを選択して、ブレードをブートします。
ESX 4.0 インストーラのブートメニューが表示されます。
ステップ 5
[Install ESX in graphical mode] を選択すると、インストーラが起動します。
これ以降は、『ESX and vCenter Server Installation Guide』の第 6 章の手順に従ってください。
インストーラの手順について段階的に説明されています。ストレージデバイスに関するプロン
プトが表示されたら、必ず前に設定した NetApp FCP LUN を選択してください。ネットワーク
については、リスト表示された 1 番目の 10 ギガビットアダプタを使用するようにホストを設定
し、 VLAN ID を管理 VLAN の ID に設定します。このブレードのサービスコンソールに関連付
けられた静的 IP アドレスを使用してインターフェイスを設定します。
このように ESX をインストールすると、 2 つの目的が達成されます。
•
このマシンは PXE サーバ VM をホストします
•
ESX をインストールすることで、 kickstart 構成ファイル（「ks.cfg」）が生成されます。この
ファイルをテンプレートとして使用します
インストールが完了すると、スタンドアロンの ESX ホストとして機能するマシンが稼働しま
す。インフラデータストアを接続するために、最小限必要な設定を行います。その後、このホ
スト上に PXE インストールサーバとして機能する Linux VM を作成します。
ステップ 1
vSphere Client を起動します。 vSphere Client がまだインストールされていない場合は、 Web
ブラウザで新しくインストールした ESX ホストに移動し、そこからダウンロードすることがで
きます。 vSphere Client に新しい ESX ホストの IP / ホスト名とクレデンシャルを入力し、ログ
インします。
ステップ 2
左側のペインでホストをクリックし、 [Configuration] タブ、 [Networking] オプションの順に
クリックします。
ステップ 3
vSwitch が 1 つだけ表示されます。その [Properties] リンクをクリックし、ダイアログで [Add]
ボタンをクリックします。以下のオプションで VMkernel インターフェイスを追加します。
•
Label ： VMkernel-NFS
•
VLAN ID ： 900 （NFS トラフィックに使用されるインフラバックエンド VLAN）
•
IP address ：このブレードの NFS インターフェイスに関連付けられた IP
•
VMkernel Default Gateway ：なし
ステップ 4
VMkernel デフォルトゲートウェイを設定するようにプロンプトが表示されたら、「No」と答え
ます。このトポロジでは、すべてのストレージを同じサブネット上に配置するためです。
ステップ 5
再び [Add] をクリックし、 [Virtual Machine] を選択します。以下の設定で VM ポートグループ
を作成します。
ステップ 6
•
Network Label ： R_VLAN_### （### はルーティング対応の管理 VLAN の ID）
•
VLAN ID ：（ルーティング対応の管理 VLAN の ID）
以下の設定で 2 番目の VM ポートグループを作成します。
37
インフラの導入
ステップ 7
•
Network Label ： N_VLAN_1 （デフォルトの標準 VLAN）
•
VLAN ID ： 1 （デフォルトの標準 VLAN の ID）
次に、 [Storage] 設定ページに移動し、 [Add Storage] をクリックします。以下のオプションで
NFS データストアを追加します。
•
Server ： 10.100.101.254 （1 番目の NetApp ストレージコントローラ上のインフラ vFiler の
IP）
•
Folder ： /vol/infrastructure1_datastore1
•
Name ： infrastructure1_datastore1
PXE インストーラとなる VM の作成
最小限の設定を行ったため、新しい VM を作成する準備が整いました。
ステップ 1
ステップ 2
[File]、 [New]、 [Virtual Machine] の順にアクセスし、以下の設定で新しい VM を作成します。
•
Configuration ： Typical
•
Name ： sc-install
•
Datastore ： infrastructure1_datastore1
•
OS ： Linux - Red Hat Enterprise Linux (32-bit)
•
Disk ： 8 GB
•
[Edit the virtual machine settings before completion] チェックボックスをオンにします
続いて表示されるプロパティダイアログで、 1 番目の NIC が管理 VLAN に設定されていること
を確認します。次に、 [Add] をクリックし、 [Ethernet Adapter] を選択します。以下の設定で 2
番目の NIC を作成します。
•
Type ： Flexible
•
Network Label ： N_VLAN_1 （標準の VLAN）
•
Connect a power on ：オン
ステップ 3
VM を起動後、右クリックして、 [open console] を選択します。
ステップ 4
VM のコンソールで、 [CD/DVD] ボタンをクリックし、 Red Hat Enterprise Linux 5 または
CentOS 5 （Red Hat Enterprise Linux ソースに基づく無償の Linux ディストリビューション）の
ISO イメージを接続します。以下を除き、 OS をデフォルト設定でインストールします。
•
Interface eth0 には、管理 VLAN 上の IP アドレスとホスト名を設定します
•
Interface eth1 には、静的な IP 192.168.0.1 とネットマスク 255.255.0.0 を設定します
•
デスクトップ GUI コンポーネントのインストールを無効にします（「Desktop - Gnome」）
VM の DHCP / TFTP / HTTP サーバとしての設定
ステップ 1
38
インストールのリブートが完了したら、ファーストブート・ダイアログで、含まれているファ
イアウォールを無効にするか、以下の手順で関連サービスを許可します。 (a) [WWW (HTTP)]
チェックボックスをオンにする (b) [Other] の下にポート 67 ～ 69 の UDP を追加する（テキス
トモード・インストールを使用している場合は、 Other に文字列「67:udp 68:udp 69:udp」を設
定します）。
インフラの導入
ステップ 2
VM がブートしたら、 root としてログインし、 PXE インストールに必要なパッケージをインス
トールします。
# yum install httpd dhcp tftp-server syslinux
ステップ 3
次に、 /etc/dhcpd.conf 内の既存の DHCP サーバ設定を以下に置き換えます。
ddns-update-style interim;
subnet 192.168.0.0 netmask 255.255.0.0 {
option routers 192.168.0.1; # Dummy value - ESX installer needs a gateway,
even if it's never used
deny unknown-clients;
allow booting;
allow bootp;
next-server 192.168.0.1;
filename "pxelinux.0";
# start at 192.168.0.101
host sc-ntap1-host1 { fixed-address 192.168.0.101; hardware ethernet
00:25:B5:11:22:3F; }
host sc-ntap1-host2 { fixed-address 192.168.0.102; hardware ethernet
00:25:B5:11:22:3E; }
host sc-ntap1-host3 { fixed-address 192.168.0.103; hardware ethernet
00:25:B5:11:22:3D; }
# ...
}
インストールするすべてのブレードに対して「host」行を必ず指定してください。これらの行
では、 IP アドレスに連続した番号を付けてください — これらのアドレスはインストールのみに
使用されますが、インストール VLAN 以外の VLAN に DHCP サーバを置かずに、実際の IP ア
ドレスを静的に設定するインストールスクリプトと組み合わせて使用されます。「deny
unknown-clients」と指定して、サーバが明示的に指定されたホスト以外に IP を提供しないよ
うにします。このようにすると、人的ミスや設定ミスのために ESX が誤ってインストールされ
ることを防止できます。
ステップ 4
DHCP サーバを再起動して、更新した設定をロードします。
# service dhcpd restart
ステップ 5
TFTP を有効にするために、「/etc/xinetd.d/tftp」を編集し、「disabled」を「no」に変更します。
次に xinetd を再起動します。
# service xinetd restart
ステップ 6
次に、 ESX 4.0 のインストールマテリアルをコピーします。まず、 VMware コンソールのツー
ルバーで [CD/DVD] アイコンをクリックし、 ESX 4.0 DVD ISO を VM に接続してから、以下を
実行して、 Linux 内でマウントします。
# mount /dev/cdrom /mnt
ステップ 7
PXE ブートに必要なマテリアルを TFTP デーモンがサービスを提供しているディレクトリにコ
ピーします。
# mkdir /tftpboot/esx4/
# cp /mnt/isolinux/initrd.img /mnt/isolinux/vmlinuz /tftpboot/esx4/
ステップ 8
インストールメディア全体を HTTP デーモンがサービスを提供しているディレクトリにコピー
します。
# mkdir /var/www/html/esx4
# cp -r /mnt/* /var/www/html/esx4
ステップ 9
最後に、 ISO イメージをアンマウントします。
# umount /mnt
これで、 ISO を VM から切断できるようになりました。
39
インフラの導入
ステップ 10 PXE 設定を準備します。 syslinux パッケージに含まれている PXELINUX バイナリを TFTP ルー
トにコピーし、デフォルトの PXE ブート設定を作成します。
# cp /usr/lib/syslinux/menu.c32 /usr/lib/syslinux/pxelinux.0 /tftpboot
# mkdir /tftpboot/pxelinux.cfg
ステップ 11
「/tftpboot/pxelinux.cfg/default」ファイルを作成し、以下を記述します。
default menu.c32
menu title PXE Boot Menu
timeout 300 # TENTHS of a second
label esx4-script
menu label ESX4: Scripted Installation
kernel esx4/vmlinuz
append initrd=esx4/initrd.img mem=512M ks=http://192.168.0.1/esx4/ks.cfg
IPAPPEND 3
label esx4-noscript
menu label ESX4: Interactive Installation, ask for media source
kernel esx4/vmlinuz
append initrd=esx4/initrd.img mem=512M askmedia vmkopts=debugLogToSerial:1
IPAPPEND 3
label local_boot
menu label Skip PXE boot
localboot 0
このようにすると、完全に自動化され、スクリプト化された ESX インストールをデフォルトオ
プションとするメニューが PXE ブートに表示されます。「IPAPPEND 3」は、 pxelinux ツールに
対し、 (1) IP アドレス情報、 (2) ブート NIC の MAC アドレス、を含めるように指示することに
注目してください。こうした情報が必要なのは、インストーラの DHCP 要求が生成された MAC
を使用するためであり、インストール中は MAC を制限された DHCP サーバは応答しなくなり
ます。
kickstart 構成ファイルの準備
ステップ 1
生成された kickstart ファイルを新しい ESX ホストからインストール VM にコピーします。 ESX
ホストのコンソールから、送信 SSH を有効にし、 SCP を使用してファイルをコピーします。
# esxcfg-firewall -o 22,tcp,out,ssh
# scp ks.cfg sc-install:generated-ks.cfg
この時点で、 ESX が FCP アダプタに使用しているドライバをメモしておきます。現在の設定で
は、「qla2xxx」ドライバです。このドライバは名前で参照されるため、スクリプト化されたイン
ストールは必ず FCP LUN 上で行われ、ローカルディスクが存在してもそのディスク上では行わ
れません。
ステップ 2
VM 上で、「generated-ks.cfg」ファイルを「/var/www/html/esx4/ks.cfg」にコピーし、以下の変
更を行います。
•
•
•
•
•
40
「clearpart」コマンドを「clearpart --firstdisk=qla2xxx --overwritevmfs」に変更します
「part」コマンドと「virtualdisk」コマンドをすべて削除し、「autopart --firstdisk=qla2xxx」
という 1 つのコマンドに置き換えます
「install」コマンドを「install url http://192.168.0.1/esx4/」に変更します
「network」コマンドを「network --device=vmnic0 --bootproto=dhcp」に変更します。こ
れは、ポストインストール・スクリプト内で、自動的に選択された静的 IP に置き換えら
れます
メインスクリプトの最後に「reboot」と追加します（ただし「%post」ディレクティブ
の前）
インフラの導入
•
以下のポストインストール・スクリプトを末尾に追加します
%post --interpreter=perl
# Automatic configuration of static IP addresses based on installer IP address
use strict;
use Socket;
# Configuration:
my $INSTALL_IP_START = '192.168.0.100'; # The lowest IP address assigned by DHCP during
installation.
my $COS_IP_START
console.
my $COS_NETMASK
my $COS_GATEWAY
my $COS_VLAN
= '10.60.116.106'; # The lowest IP to assign for the service
my
my
my
my
=
=
=
=
$VMK_IP_START
$VMK_NETMASK
$VMK_GATEWAY
$VMK_VLAN
= '255.255.255.0';
= '10.60.116.1';
= 116;
'10.100.100.0'; # The lowest IP to assign for the VMkernel.
'255.255.254.0';
undef;
900;
my $DNS_SERVER
my $DNS_DOMAIN
= '10.60.132.40';
= 'yourdomain.com';
my $LOGFILE
= '/root/ip-autoconfig.log';
# Determine static IP addresses based the DHCP address assigned for installation:
my $install_ip = get_install_ip() or die "Unable to get current IP address.\n";
my $host_number = ip2int($install_ip) - ip2int($INSTALL_IP_START);
my $cos_ip = int2ip(ip2int($COS_IP_START) + $host_number);
my $vmk_ip = int2ip(ip2int($VMK_IP_START) + $host_number);
print "Got install ip $install_ip (host $host_number), cos_ip=$cos_ip,
vmk_ip=$vmk_ip\n";
# Start the log file
open LOG, "> $LOGFILE" or die "$LOGFILE: $!\n";
print LOG "Post-install IP configuration - ".localtime()."\n";
print LOG <<EOL;
INSTALL_IP_START = $INSTALL_IP_START
COS_IP_START
= $COS_IP_START
COS_NETMASK
= $COS_NETMASK
COS_GATEWAY
= $COS_GATEWAY
COS_VLAN
= $COS_VLAN
VMK_IP_START
= $VMK_IP_START
VMK_NETMASK
= $VMK_NETMASK
VMK_GATEWAY
= $VMK_GATEWAY
VMK_VLAN
= $VMK_VLAN
DNS_SERVER
= $DNS_SERVER
DNS_DOMAIN
= $DNS_DOMAIN
install_ip
= $install_ip
host_number
= $host_number
cos_ip
= $cos_ip
vmk_ip
= $vmk_ip
-----------------EOL
# Configure network accordingly:
#
COS:
command("esxcfg-vswitch -v $COS_VLAN -p 'Service Console' vSwitch0"); # set COS VLAN
command("esxcfg-vswif -i $cos_ip -n $COS_NETMASK vswif0"); # set COS IP
set_cos_gateway($COS_GATEWAY);
#
VMK:
command("esxcfg-vswitch -A vmkernel1 vSwitch0"); # add portgroup for vmkernel
command("esxcfg-vswitch -v $VMK_VLAN -p vmkernel1 vSwitch0"); # set its vlan
command("esxcfg-vmknic -a -i $vmk_ip -n $VMK_NETMASK vmkernel1"); # add the vmk nic
command("esxcfg-route $VMK_GATEWAY") if $VMK_GATEWAY;
#
DNS/hostname:
41
インフラの導入
configure_dns($DNS_SERVER,$DNS_DOMAIN);
############################################################################
sub logprint {
print @_;
print LOG @_;
}
sub ip2host {
my ($a) = @_;
return gethostbyaddr(inet_aton($a), AF_INET) || undef;
}
# get the current IP of vswif0 (the installation IP address)
sub get_install_ip {
# get PXE-supplied IP address (needed if DHCP is statically allocated and
# therefore the IP received from a generated MAC is wrong/nonexistant)
if (`cat /proc/cmdline` =~ /ip=([\d\.]+)/) { return $1; }
# get the DHCP-supplied IP address for the generated MAC of the new COS NIC
# (used in fully-dynamic DHCP environments...though it's not clear why
#
you'd be using this script in such an environment)
if (`ifconfig vswif0` =~ /inet addr:\s*([\d\.]+)/) { return $1; }
}
# rewrite /etc/sysconfig/network with the given GATEWAY
sub set_cos_gateway {
my ($gateway) = @_;
my $cfg_file = '/etc/sysconfig/network';
logprint("Editing $cfg_file to set COS gateway to $gateway.\n");
open my $fp, "< $cfg_file" or die "$cfg_file: $!\n";
my $body = join('',<$fp>); # read whole file
close $fp;
($body =~ s/^\s*GATEWAY=.*/GATEWAY=$gateway/m) or $body .= "\nGATEWAY=$gateway\n";
open $fp, "> $cfg_file" or die "$cfg_file: $!\n";
print $fp $body; # write whole file
close $fp;
# restart network to use the change
command("service network restart");
}
sub configure_dns {
my ($nameserver,$search_domains) = @_;
my $cfg_file = '/etc/resolv.conf';
logprint("Editing $cfg_file to set DNS server to $nameserver.\n");
open my $fp, "> $cfg_file" or die "$cfg_file: $!\n";
print $fp "search $search_domains\nnameserver $nameserver\n";
close $fp;
}
# Echo, log, and execute a command
sub command {
my $cmd = $_[0] ." 2>&1";
logprint("\$ $cmd\n");
my $output = `$cmd`;
logprint($output);
}
42
インフラの導入
# Convert a dotted IPv4 address into a 32-bit integer (so we can do math on it)
sub ip2int {
my ($ip) = @_;
my @ip = split('\.',$ip);
return ($ip[0]<<24) | ($ip[1]<<16) | ($ip[2]<<8) | $ip[3];
}
# Convert a 32-bit integer into a dotted IPv4 address
sub int2ip {
my ($int) = @_;
my @ip;
for (0..3) {
unshift(@ip, $int & 0xFF);
$int >>= 8;
}
return join('.',@ip);
}
このポストインストール・スクリプトは、サービスコンソールと VMkernel の静的 IP アドレ
ス、 VLAN ID などの詳細を設定します。このような詳細を設定するために、ポストインストー
ル・スクリプトは、指定された「開始 IP アドレス」（$INSTALL_IP_START）から DHCP が割
り当てた IP アドレスを引くことで、「ホスト番号」を判断しています。このホスト番号は、
サービスコンソールのベース IP アドレス（$COS_IP_START）と VMkernel のベース IP アド
レス（$VMK_IP_START）に追加されます。この設定を行うには、スクリプトの
「Configuration」の下にあるすべてが大文字の変数を編集します。ポストインストール・スクリ
プトを使用しない場合は、インストールの完了後に KVM コンソールを使用してすべてのブレー
ドのアドレスを手動で設定します。
完成した kickstart スクリプトの主な部分は、ほぼ次のようになるはずです。
accepteula
keyboard us
auth
--enablemd5 --enableshadow
install url http://192.168.0.1/esx4/
rootpw --iscrypted $1$IaAt9oG/$44wvMB7/bG9qbZhHWK/.A1
timezone --utc 'America/New_York'
# This config will be replaced by an automatically selected dynamic IP in the post-install
script.
network --device=vmnic0 --bootproto=dhcp
clearpart --firstdisk=qla2xxx --overwritevmfs
autopart --firstdisk=qla2xxx
reboot
%post --interpreter=perl
# Automatic configuration of static IP addresses based on installer IP address
...
43
インフラの導入
ESX をインストールするための残りのホストのブート
この時点で、残りのブレードがすべてブートできるようになっているはずです。 ESX は自動的
にインストールされます。この点を確認するために、ブレードを 1 つのみブートし、 KVM コン
ソールでインストールプロセスを観察します。インストールが成功しない場合は、エラーを書
き留め、内容に応じたトラブルシューティングを行います。 ESX のスクリプト化インストール
をトラブルシューティングする際の詳細については、『ESX and vCenter Server Installation
Guide』を参照してください。
図 24
VSM 管理 vNIC の接続
1 つのブレードでインストールが成功することを確認できれば、残りのブレードに電源を入れる
ことができます。また、 ESX がクラスタ全体に自動的にインストールされます。
インストールが完了したら、ブート順で SAN は PXE に先行するため、 ESX が自動的に起動し
ます。 ESX を手動で再インストールするには、ブレードをリブートし、 BIOS プロンプトで F12
キーを押して、 PXE から明示的にブートします。クラスタにホストを追加するには、前の説明
に従ってホストを構成し、 DHCP 構成ファイル内にホストのエントリを追加して、ホストを
ブートします。
VMware vCenter のインストール
•
インストール前の手順：
– Microsoft SQL Server 2005 データベースのインストール：
スクリプトを使用した Microsoft SQL Server データベースの作成
SQL Server のデータベース、ユーザ、権限を作成するプロセスを簡易化するには、付
録 A — コマンドリストに記載されているスクリプトを実行します。このスクリプトで
は、データとログファイルの場所をカスタマイズできます。このスクリプトで作成した
ユーザは、どのようなセキュリティポリシーにも従いません。パスワードは便宜的にの
み提供されます。パスワードは適宜変更してください。 SQL Server データベースが
vCenter Server で機能するようにするには、 Database Operator （DBO; データベースオ
44
インフラの導入
ペレータ）権限を持つ SQL Server データベースユーザを作成します。データベース
ユーザを作成したら、データベースユーザのログインが、 vCenter Server データベース
と MSDB データベースで db_owner 固定データベースロールを持っていることを確認
してください。 MSDB データベースの db_owner ロールは、インストールとアップグ
レードにのみ必要です。セキュリティの強化のため、インストール後はこのロールを無
効にしてください。
スクリプトと実行手順は、付録 A — コマンドリストで説明しています。スクリプトを実
行したら、 vCenter Server で使用できる Microsoft SQL Server データベースが作成され
ます。
•
ハードウェアとリソースを次のように設定して、プライマリ vCenter VM を作成します。
– CPU の割り当てと予約値を 4 GHZ に設定します。
–
メモリの割り当てと予約値を 4 GB に設定します。
– 1 番目のネットワークアダプタを、ルーティング対応管理 VLAN ポートグループに接続し
ます。
– vCenter Heartbeat 用のチャネル・インターフェイスとして使用する 2 番目のネットワー
クアダプタを追加し、これをルーティング非対応 VLAN ポートグループに接続します。
– 『ESX and vCenter Server Installation Guide』の 86 ページの手順に従い、インストール
前の手順（http://www.vmware.com/pdf/vsphere4/r40_u1/
vsp_40_u1_esx_vc_installation_guide.pdf）で作成した vCenter データベース用の
ODBC DSN をセットアップします。
– 『ESX and vCenter Server Installation Guide』の 100 ページの手順に従い、 vCenter
Server をインストールします。
•
vCenter が稼働している状態で、次のように Virtual Infrastructure Client 経由でログインし
ます。
– 新しいデータセンターを追加します。
– ESX4.0 でインストールした Cisco UCS ブレードサーバすべてを新しいデータセンター
に追加します。
vCenter Heartbeat のインストール
•
サーバ・アーキテクチャ・オプション：
この設計検証では、わかりやすくするため「V2V」アーキテクチャ・オプションを選択して
います。プライマリ vCenter Server、セカンダリ vCenter Server、 Microsoft SQL Server は
VM です。
•
クローニング・テクノロジ・オプション：
– 内蔵 vCenter VM クローニングテクノロジを使用しています。
– [vCenter Server virtual machine] を右クリックし、 [Clone] を選択します。
– [Infrastructure] リソースプールがクローンのデスティネーションとして選択されて
いることを確認します。 [Microsoft SQL Server virtual machine] を右クリックし、
[Clone] を選択します。
– [Infrastructure] リソースプールがクローンのデスティネーションとして選択されて
いることを確認します。
•
アプリケーション・コンポーネント・オプション：
vCenter Server のために使用している Microsoft SQL Server が、別の VM として稼働して
いる場合、 vCenter Heartbeat は、データベースの保護のため、プライマリとセカンダリ両
方の SQL Server VM にインストールする必要があります。
45
インフラの導入
クローニング後のセカンダリ vCenter Server の準備：
ステップ 1
[Public] の仮想ネットワークアダプタを選択して、 [Connected] と [Connect at power on] の
チェックボックスをオフにします。
図 25
46
セカンダリ vCenter Sever VM ハードウェアの設定
ステップ 2
チャネル・インターフェイス（[Network Adapter 2]）で上記のプロセスを繰り返します。
ステップ 3
セカンダリ（事前にクローニング済み）サーバイメージの電源をオンにします。セカンダリが
起動したら、 [Network Connections] を開き、 [VMware Channel] ネットワーク接続を右クリッ
クして、 [Properties] を選択します。 [Internet Protocol (TCP/IP)] を選択し、 [Properties] をク
リックします。
ステップ 4
適切な VMware チャネルの IP アドレスとサブネットマスクを設定します。 [Advanced...] をク
リックします。
インフラの導入
図 26
DNS 用 TCP / IP 詳細設定
ステップ 5
[DNS] タブをクリックし、 [Register this connection’ s addresses in DNS] チェックボック
スをオフにして、 [OK] をクリックします。
ステップ 6
[WINS] タブをクリックし、 [Disable NetBIOS over TCP/IP] を選択して [OK] を 2 回クリックし
ます。
図 27
WINS 用 TCP / IP 詳細設定
47
インフラの導入
ステップ 7
[Principal (Public)] ネットワーク接続を選択し、右クリックして [Properties] を選択します。
[Internet Protocol (TCP/IP)] を選択し、 [Properties] をクリックします。 IP アドレスがプライ
マリサーバ、サブネットマスク、デフォルトゲートウェイと同一であることを確認し、 [OK] を
クリックします。
ステップ 8
[Network Connections] で [Advanced] をクリックし、 [Advanced Settings] を選択します。プ
リンシパル（パブリック） NIC の IP アドレスが、バインド順の最初にあることを確認し、 [OK]
をクリックします。
図 28
ステップ 9
パブリック・インターフェイスとチャネル・インターフェイスのバインド順 —[Local Area
Connection] がパブリックで、 [Local Area Connection 2] がチャネル
[Secondary] （クローニング済み）サーバイメージを右クリックし、 [Edit Settings] を選択し
ます
ステップ 10 [VMware Channel] 仮想ネットワークアダプタを選択し、 [Connected] と [Connect at power
on] のチェックボックスをオンにします。セカンダリサーバとの IP 通信は VMware チャネル経
由で行われます。
メモ
この時点では、プリンシパル（パブリック）仮想ネットワークアダプタを接続しないでくださ
い。ネットワーク上で IP アドレスの競合が発生するおそれがあります。
ステップ 11 vCenter Heartbeat のインストールに必要な、プライマリ vCenter Server の重要なデータをバッ
クアップするための共有フォルダを作成します。
•
C:\ の下に、「vcbackup」という名前のフォルダを作成します。
•
新しく作成した vcbackup フォルダを右クリックして、共有を有効にします。
•
プライマリ vCenter Server VM に、「vcbackup」共有のフルコントロール権限が付与されて
いることを確認します。
ステップ 12 上記の準備手順がすべて完了したら、『vCenter Heartbeat Reference Guide』の対応する手順に
従い、 vCenter Heartbeat をプライマリ vCenter Server VM にインストールしてください。
ステップ 13
48
プライマリ vCenter Server へのインストールのためのインストーラ画面で [Protect vCenter
Server only] オプションが選択されていることを確認してください（図 29 参照）。
インフラの導入
図 29
Heartbeat の保護レベルについてのインストーラ画面
ステップ 14 セカンダリ vCenter Server VM から「vcbackup」共有フォルダをマッピングします（図 30 参
照）。
49
インフラの導入
図 30
プライマリ vCenter Server に関連バックアップファイルを保存するためのネットワーク共
有の選択
ステップ 15 『vCenter Heartbeat Reference Guide』の対応する手順に従い、プライマリ vCenter Server VM
へのインストールを完了します。
セカンダリ vCenter Server へのインストール
セカンダリ vCenter Server に vCenter Server Heartbeat をインストールするプロセスは、
vCenter Server Heartbeat をプライマリ vCenter Server にインストールするプロセスと似てい
ます。
50
ステップ 1
vCenter Server Heartbeat インストール実行ファイルを起動し、物理ハードウェア ID として
[Secondary] を選択します。
ステップ 2
準備手順で作成した共有フォルダ「vcbackup」を指定します（図 31 参照）。
インフラの導入
図 31
ステップ 3
メモ
セカンダリでの、関連ファイルを保存するプライマリのバックアップフォルダの選択
残りの手順（『vCenter Heartbeat Reference Guide』の手順 5 ～ 28）に従い、インストールを
完了します。
vCenter Server Heartbeat を起動する前に、プライマリサーバとセカンダリサーバの間の時刻同
期を確認します。時刻が異なっている場合は、 VMware チャネル経由でセカンダリ（パッシブ）
サーバをプライマリ（アクティブ）サーバに同期します。コマンドプロンプトで次のコマンド
を入力します。 net time \\< プライマリチャネル IP アドレス > /set
これで、プライマリとセカンダリ両方の vCenter Server で、 vCenter Server Heartbeat を起動
する準備ができました。
ステップ 4
vCenter Server Heartbeat システムトレイアイコンを右クリックして、 [Start VMware vCenter
Server Heartbeat] を選択します。アイコンがダブルダッシュから P と A に変化します。 P は
サーバがプライマリサーバであり、 A はサーバがアクティブロールを担っていることを示しま
す。
ステップ 5
『vCenter Heartbeat Reference Guide』の 64 ページの手順 31 すべてに従い、次のようにプラ
イマリとセカンダリ vCenter Heartbeat サーバのペア設定を行い、複製が同期されるようにし
ます。
ステップ 6
デスクトップのショートカットか、 [ スタート ] > [ すべてのプログラム ] > [VMware] >
[VMware vCenter Server Heartbeat] > [Manage Server] を選択して、 vCenter Server
Heartbeat コンソールを起動します。ログインウィンドウが表示されます。
ステップ 7
ログインする前に、管理するサーバのペアを指定する必要があります。 [Servers] をクリックし
ます。
メモ
ステップ 8
プライマリサーバのプリンシパル（パブリック） IP アドレスか FQDN を追加して、現在のサー
バのロール（アクティブかパッシブか）にかかわらず、 vCenter Server Heartbeat コンソールか
らサーバのペアを管理できるようにします。
[Add Pair] をクリックします。
51
インフラの導入
図 32
vCenter Server のパブリック IP アドレスの追加によるサーバペア設定
図 33
Heartbeat のインストールが完了した状態の画面例
プライマリとセカンダリ両方の Microsoft SQL Server VM に、 vCenter Heartbeat をインストー
ルする必要があります。データベースは、 vCenter Server に対してリモートであるためです。
このインストール手順は、 vCenter Server へのインストール手順とほぼ同じですが、
「Application Protection」の選択の部分だけ異なります。 [Protect SQL Server only] を選択する
ようにしてください（図 34 参照）。
52
インフラの導入
図 34
SQL を実行しているサーバへの Heartbeat のインストールで [Protect SQL Server only]
を選択
ステップ 9
プライマリとセカンダリ両方の SQL Server VM でインストールが完了したら、 vCenter
Heartbeat サービスを起動し、 vCenter Server Heartbeat コンソールで、プライマリとセカンダ
リのペア設定を行います。
Cisco Nexus 1000V のインストール
•
Cisco Nexus 1000V をインストールします。
•
仮想ポートを Nexus 1000V に移行します。
•
アクティブ / パッシブ Nexus 1000V VSM の設定を行います。
Nexus 1000V のインストールとアップグレードについては、
http://www.cisco.com/en/US/products/ps9902/tsd_products_support_install_and_upgrade.html を
参照してください。
Nexus 1000V の設定については、
http://www.cisco.com/en/US/products/ps9902/tsd_products_support_configure.html を参照し
てください。
Nexus 1000V の設定
UCS、 VMware ESX、 vCenter のインストールが完了したら、次は NFS データストア、 VMotion、
テナント VM 用に SMT 接続をインストールして有効にします。まず、その他のネットワークへ
の Nexus 1000V 接続を有効にします。 vSphere で実行している Nexus 1000 のインストールオプ
ションは、本ドキュメントの対象外です。ただし、 Nexus 1000V の一般的な導入オプションにつ
いては、ホワイトペーパーの『 Nexus 1000V Deployment Guide』
（ http://www.cisco.com/en/US/prod/collateral/switches/ps9441/ps9902/guide_c07-556626.html）で
説明されています。
53
インフラの導入
メモ
『Nexus 1000V Deployment Guide』では、この導入ガイドで使用されている、アップリンク
（Mac ピニング）の接続に利用できる新しいオプションについては説明されていません。使用さ
れているオプションの違いについては、以下の導入手順で説明します。
メモ
Nexus 4.0 （4） SV1 （2）リリースをインストールする導入手順には追加の手順が必要な場合が
あります。 Nexus 1000V の NxOS4.0 （4） SV1 （2）リリースのインストール手順と移行手順に
ついては、 http://www.cisco.com/ を参照してください。
UCS システムには、導入時に選択できるネットワーク・アダプタ・ハードウェアが複数ありま
す。ここでは、 M71KR-Q / M71KR-E シリーズの CNA を使用します。これ以外のオプションに
ついては、 UCS システムでの Nexus 1000V 導入オプションに関するホワイトペーパー
（http://www.cisco.com/en/US/prod/collateral/switches/ps9441/ps9902/white_paper_c11-55824
2.html）を参照してください。
上記の設計ホワイトペーパーの最後に、 UCS システムでの複数の VSM 導入オプションが説明
されています。この導入ガイドは、 VEM の背後にある VM として、 Cisco UCS 内の VSM を使
用しています。以下の手順は、 SMT のインフラネットワーク接続要件を対象としており、
Nexus 1000V の管理 VLAN、制御 VLAN、パケット VLAN、 VMotion、 NFS データストア VLAN
について説明しています。
Nexus 1000V の管理 VLAN、制御 VLAN、パケット VLAN の設定：
ステップ 1
SMT 設計ガイドでは、 Nexus 1000V の管理 VLAN は、次のようにインフラ管理 VLAN に分類さ
れています。
vlan 155
name VM_Con-N1kV-Mgmt_172_26_155
interface mgmt0
ip address 172.26.155.22/25
ステップ 2
VMWare vSphere の管理と、 vSphere への Nexus 1000V 接続も、次のようにインフラ管理下に
定義されています。
svs connection VC
protocol vmware-vim
remote ip address 172.26.155.100 port 80
vmware dvs uuid "e8 7f 30 50 a8 5c ff e4-7b e1 bd 39 d6 8e 52 4a" datacenter-name Secure
Cloud
connect
ステップ 3
制御 VLAN とパケット VLAN は、 NFS データストア VLAN 内に統合されています。
vlan 900
name NFS_DataStore-N1K-CtrPkt_100_100'
コントロールプレーン VLAN、パケット VLAN、 NFS データストア VLAN も、「システム
VLAN」として処理されます。システム VLAN とは、 VEM が VSM にアクセスする前に確立する
必要のある、ポート上に設定された VLAN です。システム VLAN は、 ESX サーバの接続を残り
のネットワークに結び付けるポートプロファイルの一部として設定されています。この設計で
は、 VLAN ごとにポートプロファイルが使用されます。
ステップ 4
Nexus 1000V インフラ接続には次の 3 つのポートプロファイルが必要です。
•
それぞれの VEM からの 2 つのアップリンク用ポートプロファイル
port-profile type ethernet system-uplink
description system profile for critical ports
vmware port-group <-- ポートグループを vSphere に登録
switchport mode trunk
switchport trunk allowed vlan 155, 900-901 <-- 必要なすべての VLAN を許可
54
インフラの導入
channel-group auto mode on mac-pinning <-- ポートチャネルをアップリンク
no shutdown
system vlan 155,900 <-- 利用するために必要
state enabled
上記のポートプロファイルは、必要に応じて次の CLI を使用してすべてのアップリンク・
ポートチャネルに継承されます。
interface port-channel1
inherit port-profile system-uplink
上記の設定では、管理 VLAN （155）と制御 / パケット VLAN （900）がシステム VLAN と
して指定され、アップリンクポートが EtherChannel として設定されます。 channel-group
auto mode on mac-pinning は 4.0 （4） SV1 （2）の新しい CLI で、 CDP を使用しなくて
も、 USC VNIC への EtherChannel アップリンク接続が可能です。アップリンクがトランク
として設定されていることに注意してください。また、インフラ接続を実現するすべての
VLAN が許可されています。アップリンク・ポートプロファイルには、テナントのプロビ
ジョニング手順で使用するすべてのテナント VLAN が含まれている必要があります。アッ
プリンク・プロファイルが定義されたら、このアップリンク・プロファイルを、 vSphere
GUI で適切な ESX サーバと関連付ける必要があります。このシステムアップリンクを接続
する前に、 vSphere で「仮想スイッチ」から「分散型仮想スイッチ」に移行する手順が必
要になります。 vSphere で vSwitch から Nexus 1000v スイッチに移行する手順については、
http://www.cisco.com/ を参照してください。図 35 は、ある ESX サーバのアップリンクの関
連付けを示しています。
図 35
•
各 VEM から UCS VNIC へのシステムアップリンク
VSM 管理 VLAN 用のポートプロファイルは次のように定義します。
port-profile type vethernet management
vmware port-group
vmware max-ports 100 <-- 特定のポートプロファイルでポート数を増やすことを許可
switchport mode access
switchport access vlan 155
no shutdown
system vlan 155 <-- ここでもシステム VLAN の定義が必要
state enabled
このポートプロファイルはすべての仮想アプライアンス管理に使用するため、 Nexus
1000V 管理インターフェイスを上記のポートプロファイルに関連付ける必要があります。
55
インフラの導入
図 36
•
管理 VLAN プロファイルの関連付け
制御 / パケット VLAN 用のポートプロファイル
この設計では、制御 / パケット VLAN が NFS データストアとともに統合されるため、
制御 / パケット VLAN 用に、次のように単一のポートプロファイルを作成します。
port-profile type vethernet Control-Packet-NFS
vmware port-group
switchport mode access
switchport access vlan 900
no shutdown
system vlan 900 <-- システム VLAN
state enabled
56
インフラの導入
図 37
ステップ 5
制御 / パケット VLAN のプロファイルの関連付け
ESX サーバからの NFS データストア接続
「Control-Packet-NFS」ポートプロファイルは、 NFS データストアに割り当てられたそれぞれ
の ESX サーバの VMkernel インターフェイスを関連付けるためにも使用されます。 IP サブネッ
トの範囲は、個々の環境によって異なりますが、この環境では、必要とされる大きな ESX クラ
スタを表現するために /22 アドレス指定を使用します。接続手順の例を図 38 に示します。
図 38
NFS データストアとプロファイルの関連付け用の VMkernel
57
インフラの導入
前の手順が完了した時点でのポートプロファイルのステータスの例を次に示します。
sc-n1kv-1# show port-profile name Control-Packet-NFS
port-profile Control-Packet-NFS
description:
<snip>
system vlans: 900
port-group: Control-Packet-NFS
max ports: 32
inherit:
config attributes:
switchport mode access
switchport access vlan 900
no shutdown
evaluated config attributes:
switchport mode access
switchport access vlan 900
no shutdown
assigned interfaces:
Vethernet3
Vethernet5
<snip>
ステップ 6
ESX Server からの vMotion 接続
本ドキュメントでは、 vMotion を有効にするために、それぞれの ESX サーバから別々の
VMkernel インターフェイスを使用します。本ドキュメントでは、 vMotion による移行は単一サ
イトに限定し、サブネットはルーティング非対応とします。接続手順の例を vSphere からの出
力で示します（図 39 参照）。
図 39
58
vMotion とプロファイルの関連付け用の VMkernel
インフラの導入
次の Nexus 1000V での出力は、ある ESX Server に関連付けられたすべての接続（すべてのイ
ンフラ VM vNIC、 VMkernel インターフェイス、サービス・コンソール・ポートなど）を示し
ています。
sc-n1kv-1# show interface virtual module
4
---------------------------------------------------------------------------------------------------Port
Adapter
Owner
Mod
Host
---------------------------------------------------------------------------------------------------Veth2
vmk1
VMware VMkernel
4
sc-esx-bs-01.cisco.com
Veth4
vswif0
VMware Service Console
4
sc-esx-bs-01.cisco.com
Veth5
vmk0
VMware VMkernel
4
sc-esx-bs-01.cisco.com
Veth6
Net Adapter 2
sc-vc-1
4
sc-esx-bs-01.cisco.com
Veth9
Net Adapter 1
sc-n1k-active-vsm
4
sc-esx-bs-01.cisco.com
Veth10
Net Adapter 2
sc-n1k-active-vsm
4
sc-esx-bs-01.cisco.com
Veth11
Net Adapter 3
sc-n1k-active-vsm
4
sc-esx-bs-01.cisco.com
Veth48
Net Adapter 1
vShield Manager
4
sc-esx-bs-01.cisco.com
上記の手順は、特定の環境でプロビジョニングされた ESX サーバそれぞれで繰り返す必要があ
ります。以下の出力は、 Nexus 1000V での SMT 検証環境を示しています。
sc-n1kv-1# sh module
Mod Ports Module-Type
--- ----- -------------------------------1
0
Virtual Supervisor Module
2
0
Virtual Supervisor Module
3
248
Virtual Ethernet Module
4
248
Virtual Ethernet Module
5
248
Virtual Ethernet Module
6
248
Virtual Ethernet Module
7
248
Virtual Ethernet Module
8
248
Virtual Ethernet Module
9
248
Virtual Ethernet Module
10
248
Virtual Ethernet Module
Mod
--1
2
3
4
5
6
7
8
9
10
Sw
Hw
--------------- -----4.0(4)SV1(2)
0.0
4.0(4)SV1(2)
0.0
4.0(4)SV1(2)
0.4
4.0(4)SV1(2)
0.4
4.0(4)SV1(2)
0.4
4.0(4)SV1(2)
0.4
4.0(4)SV1(2)
0.4
4.0(4)SV1(2)
0.4
4.0(4)SV1(2)
0.4
4.0(4)SV1(2)
0.4
Mod
--1
2
3
4
5
6
7
8
9
10
MAC-Address(es)
-------------------------------------00-19-07-6c-5a-a8 to 00-19-07-6c-62-a8
00-19-07-6c-5a-a8 to 00-19-07-6c-62-a8
02-00-0c-00-03-00 to 02-00-0c-00-03-80
02-00-0c-00-04-00 to 02-00-0c-00-04-80
02-00-0c-00-05-00 to 02-00-0c-00-05-80
02-00-0c-00-06-00 to 02-00-0c-00-06-80
02-00-0c-00-07-00 to 02-00-0c-00-07-80
02-00-0c-00-08-00 to 02-00-0c-00-08-80
02-00-0c-00-09-00 to 02-00-0c-00-09-80
02-00-0c-00-0a-00 to 02-00-0c-00-0a-80
Mod
--1
2
3
Server-IP
--------------172.26.155.22
172.26.155.22
172.26.155.102
Model
-----------------Nexus1000V
Nexus1000V
NA
NA
NA
NA
NA
NA
NA
NA
Status
-----------active *
ha-standby
ok
ok
ok
ok
ok
ok
ok
ok
Serial-Num
---------NA
NA
NA
NA
NA
NA
NA
NA
NA
NA
Server-UUID
-----------------------------------NA
NA
7e4fe44e-bcf3-11de-1021-00000000000d
Server-Name
-------------------NA
NA
sc-esx-bs-02.cisco.com
59
インフラの導入
4
5
6
7
8
9
10
172.26.155.101
172.26.155.103
172.26.155.104
172.26.155.105
172.26.155.107
172.26.155.108
172.26.155.106
7e4fe44e-bcf3-11de-1021-00000000000c
7e4fe44e-bcf3-11de-1021-00000000000e
7e4fe44e-bcf3-11de-1021-00000000000f
7e4fe44e-bcf3-11de-1021-000000000008
7e4fe44e-bcf3-11de-1021-00000000000a
7e4fe44e-bcf3-11de-1021-00000000000b
7e4fe44e-bcf3-11de-1021-000000000009
sc-esx-bs-01.cisco.com
sc-esx-bs-03.cisco.com
sc-esx-bs-04.cisco.com
sc-esx-bs-05.cisco.com
sc-esx-bs-07.cisco.com
sc-esx-bs-08.cisco.com
sc-esx-bs-06.cisco.com
vShield Manager のインストール
メモ
vShield Manager と vShield エージェントは、 vShield Zones のコンポーネントです。このエン
ティティは仮想アプライアンスとして導入します。このエンティティには特別なコンピュー
ティング要件が必要になります。表 4 は、 vShield Manager と vShield エージェントのコン
ピューティング要件の概要です。
表4
vShield Manager と vShield エージェントのコンピューティング要件
コンピューティング vShield
Manager
要件
vShield
エージェント
ディスクスペース使
用量
8 GB
5 GB
メモリ使用量
2 GB
（リザーブ）
1 GB
（リザーブ）
このような要件があるため、コンピューティング要件を満たすのに十分なリソースをホストに
確保することが必須となります。パフォーマンスの低下を防ぐため、 vShield Manager と
vShield エージェントのためのメモリリザーブの値を編集することは推奨していません。
『vShield Zones Administration Guide』の手順に従い、次のように vShield エージェントと
vShield Manager の仮想アプライアンスをインストールします。
•
vShield Zones 仮想アプライアンスを入手します。
•
vSphere Client を使用して、 vShield Manager を VM としてインストールします。
•
VMware HA クラスタの ESX サーバそれぞれに、 vShield エージェント仮想アプライアンス
をインストールします。
『vShield Zones Administration Guide』の付録 C に詳述されている手順に従い、次の作業を行い
ます。
ステップ 1
管理ポートプロファイルを次のように設定します。
n1000v# configure terminal
n1000v(config)# port-profile vshield_mgmt
n1000v(config)# vmware port-group
n1000v(config)# switchport access vlan 900
n1000v(config)# no shutdown
n1000v(config-port-prof)# state enabled
ステップ 2
VSD ポートプロファイルを次のように設定します。
Cisco Nexus 1000v VSM にログインして、「Protected」ポートプロファイルと「Unprotected」
ポートプロファイルを作成します。
n1000v# configure terminal
n1000v(config)# port-profile vshield_Protected
n1000v(config-port-prof)# vmware port-group
n1000v(config-port-prof)# switchport mode trunk
60
インフラの導入
n1000v(config-port-prof)#
n1000v(config-port-prof)#
n1000v(config-port-prof)#
n1000v(config-port-prof)#
n1000v(config-port-prof)#
n1000v(config-port-prof)#
switchport trunk allowed vlan 201,125,130,400,401 <-- メモ参照
virtual-service-domain vsd1
service-port inside default-action drop
no shut
state enabled
exit
n1000v(config)# port-profile vshield_Unprotected
n1000v(config-port-prof)# vmware port-group
n1000v(config-port-prof)# switchport mode trunk
n1000v(config-port-prof)# switchport trunk allowed vlan 201,125,130,400,401 <-- メモ参照
n1000v(config-port-prof)# virtual-service-domain vsd1
n1000v(config-port-prof)# service-port outside default-action drop
n1000v(config-port-prof)# no shutdown
n1000v(config-port-prof)# state enabled
n1000v(config-port-prof)# exit
n1000v(config)# copy run start
[########################################] 100%
メモ
ステップ 3
メモ
ステップ 1
保護する必要がある VM に対応したポートプロファイルと関連付けられた VLAN のみを含めま
す。 VSM のリロードやネットワークの停止に伴うネットワークループを回避するため、すべて
の vShield ポートプロファイルで制御 / パケット VLAN を無効にする必要があります。
付録の残りの手順に従い、次のタスクを完了します。
•
vShield Manager OVF を導入します。
•
OVF から vShield エージェントを導入します。
•
vShield エージェントのインターフェイスをポートプロファイルに割り当てます。
•
vShield エージェントをセットアップします。
•
vShield エージェントを vShield Manager に追加します。
セキュア・マルチテナンシー・アーキテクチャが VMware HA と VMware DRS で有効になって
いる場合は、それぞれの ESX サーバインスタンスの各 vShield Zones 仮想アプライアンスで次
の手順を実行する必要があります。
次のように vShield Zones 仮想アプライアンスを移動することで、 VMware HA または VMware
DRS を無効にします。
1.
vSphere Client にログインします。
2.
vShield Zones 仮想アプライアンスを含むクラスタを右クリックして、 [Edit Properties] を
クリックします。 [Admin Settings] ダイアログボックスが開きます。 [VMware HA] で
[Virtual Machine Options] をクリックします。
3.
リストから [vShield Manager] と [vShields] を探します。
4.
それぞれの vShield Zones 仮想アプライアンスで次の値を選択します。
– [VM Restart Priority] ： [Disabled]
– [Host Isolation Response] ： [Leave VM powered on]
5.
[VMware DRS] で [Virtual Machine Options] をクリックします。リストから [vShield
Manager] と [vShields] を探します。
6.
それぞれの vShield Zones 仮想アプライアンスで [Disabled for Automation Level] を選択
します。
7.
すべての vShield Zones 仮想アプライアンスの設定が完了したら、 [OK] をクリックします。
61
インフラの導入
ステップ 2
次のように vMotion を有効にして、仮想イントラネットのチェックを無効にします。
1.
vCenter Server を実行しているマシンで、 vpxd.cfg ファイルを探します。このファイルは、
デフォルトでは、 C:\Documents and Settings\All Users\Application Data\VMware\VMware
vCenter Server にインストールされています。
2.
テキストエディタで vpxd.cfg ファイルを編集します。 config セクションのサブレベルとし
て、また vpxd セクションの同じレベルにも以下の行を追加します。
<migrate>
<test>
<CompatibleNetworks>
<VMOnVirtualIntranet>false</VMOnVirtualIntranet>
</CompatibleNetworks>
</test>
</migrate>
3.
vpxd.cfg ファイルを保存します。
4.
VMware vCenter Server サービスを再開します。 [ コントロールパネル ] >
[ 管理ツール ] > [ サービス ] に移動します。
インフラネットワーク保護ポリシーの有効化
インフラの保護は SMT のサービスを保証するうえで重要です。インフラのトラフィックは、
ネットワーク・プロトコル・コントロール・プレーン、ゲスト VM 用のデータストア、管理ト
ラフィックで構成されます。インフラのトラフィックには、マルチテナンシー環境の整合性と
耐障害性を維持する最高レベルの保護が必要です。インフラのサービス保証は、 VLAN で適切な
トラフィックの分類を行ったあと（ネットワークインフラの接続参照）、設計ガイドのフレーム
ワークに従い適切な QoS マークを付けることで実現されます。最終的には、 UCS ファブリック
内でのトラフィック・エンジニアリングが、安定時の保護レベルと多様性を向上させます。
以下のトラフィックは、インフラ接続に分類されます。
•
NFS データストア・トラフィック
•
Nexus 1000V の制御 / パケット VLAN のトラフィック
•
管理トラフィック
•
vMotion トラフィック
設計ガイドで説明されているように、まずトラフィックをガイドラインに従って分類してマー
ク付けし、次に Nexus 1000V の「Mac ピニング」機能でトラフィック・エンジニアリングを有
効にします。 Nexus 5000 も、適切な QoS 分類と帯域幅制御を反映するよう設定されます。ト
ラフィック分類は VLAN に基づいており、各 VLAN トラフィックは CoS 値のガイドラインに基
づいて分類されます。
図 40
62
インフラトラフィックの CoS 分類
インフラの導入
以下の表は、各タイプのトラフィックに関連付けるポートプロファイルと QoS 設定を示してい
ます。テナントトラフィックの分類は、テナント・プロビジョニングで説明しています。表 5
は、 CoS のマーク付けと、ファブリック内のトラフィック・エンジニアリングを示しています。
以下の各タイプのトラフィック、 CoS 値、ファブリック、 VLAN の対応表は、関連付けられる
QoS 設定とそれぞれのタイプのトラフィックを伝送するポートプロファイルを示しています。
表5
インフラトラフィック —NFS データストアと Nexus 1000V の制御 / パケット — プラチナクラス
トラフィックタイプ分類カテゴリ
CoS
トラフィック・エンジニアリ
ングのファブリック / クラス
VLAN 分類の根拠
NFS データストア
VMkernel / 制御
5
ファブリック A / プラチナ
900
稼働中の ESX / VM
の OS データ
Nexus 1000V の
制御
システム / 制御
5
ファブリック A / プラチナ
900
Nexus 1000V の運用
Nexus 1000V のパ
ケット
システム / ネットワー 5
ク制御
ファブリック A / プラチナ
900
Nexus 1000V の運用
メモ
プラチナトラフィックが十分な帯域幅を確保できないきわめてトラフィック量の多い環境では
（設計上、 UCS プラチナクラスの帯域幅は限られています。「ドロップなし」機能がゴールドク
ラスと FCoE に指定されているためです）、 Nexus 1000V の制御トラフィック / パケットトラ
フィックを「ドロップなし」クラスに分類して、 VSM と VEM の間の接続を維持できます。
mac access-list control-vlans
statistics per-entry
10 permit any any vlan 900 <-- NFS データストアと Nexus 1000V の制御 / パケットトラフィック
class-map type qos match-any Platinum_Traffic
description NFS_N1kv_CtrPkt_Plat_IO_Transactional
match access-group name control-vlans
policy-map type qos Platinum_CoS_5
class Platinum_Traffic
set cos 5
上記のポリシーマップは、前述のネットワークインフラの接続で作成したポートプロファイル
に割り当てられます。「ピニング ID」は、各ポートプロファイルで使用することに注意してく
ださい。ピニング ID により、対応するファブリックへのポートプロファイルでトラフィック・
エンジニアリングを有効にできます。
port-profile type vethernet Control-Packet-NFS
switchport access vlan 900
service-policy type qos input Platinum_CoS_5 <-- プラチナサービスのプロファイル
pinning id 0 <-- ファブリック A のトラフィックをピニングするトラフィック・エンジニアリング
sc-n1kv-1# show port-profile name Control-Packet-NFS
port-profile Control-Packet-NFS
description:
type: vethernet
<snip>
system vlans: 900
port-group: Control-Packet-NFS
max ports: 32
<snip>
service-policy type qos input Platinum_CoS_5
pinning id 0
no shutdown
63
インフラの導入
evaluated config attributes:
service-policy type qos input Platinum_CoS_5
pinning id 0
no shutdown
assigned interfaces:
Vethernet3
Vethernet5
表6
インフラトラフィック — 管理 — ゴールドクラス
トラフィックタイプ
分類カテゴリ
CoS
トラフィック・エンジニアリ
ングのファブリック / クラス
VLAN 分類の根拠
Nexus 1000V の管理
システム / 制御
6
ファブリック B / ゴールド
155
ファブリック A か
ら Nexus 1000V の
制御を分離して、す
べてを管理
6
ファブリック B / ゴールド
155
同上
ESX サービスコンソール vswif / 制御
ip access-list mark_CoS_6
statistics per-entry
10 permit ip 172.26.155.0/25 any <-- 管理で指定される単一の VLAN
class-map type qos match-all Gold_Traffic
match access-group name mark_CoS_6
policy-map type qos Gold_CoS_6
class Gold_Traffic
set cos 6
port-profile type vethernet Management
vmware port-group
switchport access vlan 155
service-policy type qos input Gold_CoS_6 <-- 上記のポリシーマップを適用
pinning id 1 <-- このトラフィックのピニングはファブリック B で行われる
表7
インフラトラフィック —vMotion— シルバークラス
トラ
フィック
タイプ
分類カテゴリ
トラフィック・エンジニアリ
CoS ングのファブリック / クラス
VLAN 分類の根拠
vMotion
VMkernel / 制御
4
901
ファブリック A / シルバー
レート制限あり / 低頻度、完了ま
で実行
ip access-list mark_CoS_4
statistics per-entry
10 permit ip any 10.100.102.0/23 <-- vMotion サブネット
class-map type qos match-all Silver_Traffic
match access-group name mark_CoS_4
policy-map type qos Silver_CoS_4
class Silver_Traffic
set cos 4
port-profile type vethernet VMotion_10_100_102
switchport access vlan 901
service-policy type qos input Silver_Traffic <-- シルバートラフィック用のポリシーマップ
pinning id 0 <-- トラフィック・エンジニアリング
64
インフラの導入
さらに、利用できる帯域幅を消費しすぎないよう、 vMotion トラフィックのレートを制限でき
ます。従来の環境では、 1 Gbps インターフェイスが vMotion インターフェイスとしてのみ使用
されます。共有環境では、 vMotion インターフェイスを 1 Gbps に制限できます。ポリシングが
必要なタイプのトラフィックでは、それぞれのトラフィックに、別々のクラスマップが必要な
ことに注意してください。このため、上記の設定は、ポリシングを行う場合、次のように変更
される場合があります。
ip access-list vMotion
10 permit ip any 10.100.102.0/23
class-map type qos match-all police_vMotion
match access-group name vMotion
policy-map type qos Silver_CoS_4
class police_vMotion
police cir 500 mbps bc 200 ms pir 1 gbps be 200 ms conform set-cos-transmit 4 exceed
set dscp dscp table cir-markdown-map violate drop
table-map cir-markdown-map <-- マークダウンマップの例。環境によって異なります
default copy
from 1-63 to 0 <-- すべての DSCP 値をゼロにマークダウンします
上記の例では、 vMotion トラフィックが 500 Mbps で、 CoS 値が 4 の状態で送信されますが、
このレートを超えると、以降のトラフィックは DSCP テーブルマップでデフォルトのクラスに
マークダウンされます。 1 Gbps を超えるトラフィックはすべてドロップされ、 ESX サーバによ
り再転送されます。 Nexus 1000V のレート制限については、
http://www.cisco.com/en/US/docs/switches/datacenter/nexus1000/sw/4_0_4_s_v_1_2/qos/con
figuration/guide/n1000v_qos_4policing.html を参照してください。
メモ
トラフィックの CoS ベースのマークダウンは、 Nexus 1000V 4.0 （4） SV1 （2）ソフトウェア
バージョンでは不可能です。
インフラトラフィックの UCS での分類と帯域幅制御
以下の図は、 CoS の UCS マッピングと帯域幅制御を示しています。分類には、 2 つの重要な条
件があります。 1 つ目は、プラチナクラス（「最優先」）に帯域幅制限があることです。これは、
より優先度が高いクラスでの適切な帯域幅割り当てが必要であることを意味します。このよう
なプランニングは、「優先」クラスに無制限の帯域幅を与えられるネットワークデバイスでは必
要ありません。 2 つ目は、この設計では、「ゴールド」クラスを「ドロップなし」クラスとして
処理し、サービスレベルでさらに差別化を行っていることです。
図 41
UCS QoS 設定
図 41 に示した帯域幅の重み付けは、出力例です。実際の帯域幅の割り当ては、固有の要件に
よって異なるため、各タイプのトラフィックで帯域幅を予測してプランニングを行う必要があ
ります。
65
インフラの導入
インフラトラフィックの Nexus 5000 のキューイングと帯域幅制御
設計ガイドでは、独立したクラスマップが必要な Nexus 5000 QoS の概念が多く扱われている
ほか、分類用のポリシーマップ、 QoS パラメータの変更、ネットワーク・キューイング / 帯域
幅制御についても説明されています。このセクションでは、インフラタイプのトラフィック
（上記 Nexus 1000V の設定参照）のキューイングと帯域幅制御の設定手順について説明します。
必要な帯域幅制御は導入する環境ごとに異なるため、ここで紹介する設定は参照用としてご覧
ください。
警告
ステップ 1
この設計では、 vPC テクノロジを利用してループの少ない設計を行っています。 vPC 構成では、
2 つの Nexus 5000 の設定に、一貫性のある一連のグローバル設定を使用する必要があります。
vPC を有効にする前に、 QoS ポリシーをシステムレベルで有効にすることを推奨します。 vPC
を構成後に QoS 設定を適用する場合は、両方の Nexus 5000 で QoS を同時に有効にする必要が
あります。この方法でないと、 vPC トポロジに属するすべての VLAN が無効になります。
Nexus 5000 で受信する NetApp データストアのストレージトラフィックを照合し、適切な CoS
設定でマーク付けします。 NetApp コントローラの NFS データストアのサブネットに一致する
ACL は次のとおりです。
ip access-list classify_CoS_5
10 permit ip 10.100.100.0/22 any <-- NFS データストア
ステップ 2
以下は、 NetApp コントローラ・トラフィックと ACL を結び付けるクラスマップです。
class-map type qos Platinum_Traffic <-- クラスマップのタイプは「QoS」
match access-group name classify_CoS_5
ステップ 3
以下は、 Nexus 1000V か Nexus 7000 が送信元であり、境界でマーク付けされている任意のト
ラフィックを、 QoS グループ内で分類するためのクラスマップです。これは、 VM からの NFS
データストア VLAN、 Nexus 1000V パケット / 制御 VLAN、管理 VLAN のトラフィックに CoS
を適用します。以下のクラスマップには 2 つの機能があります。 1 つ目の機能はインフラトラ
フィックを照合する機能、 2 つ目の機能は、テナントのトラフィックを照合する機能です。
class-map type qos Platinum_transactional
match cos 5
class-map type qos Gold_Transactional
match cos 6
class-map type qos Silver_Transactional
match cos 4
ステップ 4
分類子（QoS）をネットワーク QoS 操作に結び付けるよう QoS グループを設定します。次の設
定は、 QoS グループ番号（2 ～ 5）をトラフィックのセットに割り当てます。たとえば、 CoS 5
はグループ 2 （プラチナクラス）です。この QoS グループは、 VM、 ESX、 UCS が送信元のイ
ンフラトラフィックの照合に使用します。
policy-map type qos Global_Classify_NFS_Application <-class Platinum_Traffic
set qos-group 2
class Platinum_transactional
set qos-group 2
class Gold_Transactional
set qos-group 3
class Silver_Transactional
set qos-group 4
ステップ 5
以下の設定は、上記の QoS グループで分類された、ストレージが送信元の NetApp トラフィッ
クに CoS を適用します。 QoS パラメータを変更するには、「ネットワーク QoS」タイプのクラ
スマップとポリシーマップが必要です。
class-map type network-qos Platinum_Traffic_NQ <-match qos-group 2
66
「QoS」タイプのポリシーマップ
「ネットワーク QoS」タイプのクラスマップ
インフラの導入
ステップ 6
以下のポリシーマップは、上記のクラスマップを使用して、 NFS に CoS 値を設定します。
policy-map type network-qos Netapp_Qos
class type network-qos Platinum_Traffic_NQ
set cos 5
queue-limit 30000 bytes <-- キューの制限を使用してバッファを均等に分散
ステップ 7
「キューイング」クラスマップは、トラフィックを適切にキューイングするために必要です。こ
こでも、 QoS グループを使用した結び付けを行います。以下のクラスマップには 2 つの目的が
あることに注意してください。 1 つ目の目的は、 Nexus 1000V ですでにマーク付けされたトラ
フィックをキューイングすることで、 2 つ目の目的は、 NetApp コントローラが送信元であるト
ラフィック用に Nexus 5000 「QoS」分類子によってマーク付けされたトラフィックをキューイ
ングすることです。このため、このキューイングクラスは、テナントサービス保護プロビジョ
ニングでも使用できます。
class-map type queuing Platinum_Traffic_Q
match qos-group 2
class-map type queuing Gold_Traffic_Q
match qos-group 3
class-map type queuing Silver_Traffic_Q
match qos-group 4
ステップ 8
キューごとの帯域幅（BW）制御は、「キューイング」タイプのポリシーマップで定義します。
policy-map type queuing Global_BW_Queuing
class type queuing Platinum_Traffic_Q
priority
class type queuing Gold_Traffic_Q
bandwidth percent 20
class type queuing Silver_Traffic_Q
bandwidth percent 15
警告
ステップ 9
上記の帯域幅割り当ては、設定例です。 NFS データストア・トラフィック要件や、ポリシーに
従って各クラスに割り当てられたテナントトラフィックに基づき、導入する環境に合った適切
な帯域幅の割り当てを計画する必要があります。
最後に、次のシステムレベルの CLI を使用して、分類子の QoS フレームワーク、ネットワーク
QoS、キューイングをグローバルに有効にします。
system qos
service-policy type queuing output Global_BW_Queuing <-- キューイングをグローバルに有効化
service-policy type qos input Global_Classify_NFS_Application <-- 分類子をグローバルに有効化
service-policy type network-qos Netapp_Qos <-- QoS パラメータ設定を有効化
Nexus 7000 の QoS 制御とポリシー管理については、この導入ガイドの対象外のため、ここで
は説明しません。ただし、 DSCP 値でマーク付けされた検証トラフィックは、 Nexus 7000 で対
応する CoS 値に自動的に変換されます。
NetApp Operations Manager と Provisioning Manager の導入
次に、 NetApp Operations Manager と Provisioning Manager を、環境内の 1 つの VM に導入し
ます。 NetApp Operations Manager と Provisioning Manager は、 NetApp DataFabric Manager
サーバのコンポーネントで、 NetApp Now のサポートとサービスのサイト
（http://now.netapp.com）から入手できます。付属ドキュメントのベストプラクティスのインス
トール手順に従って導入を行ってください。
NetApp Provisioning Manager は、ストレージリソースの導入と管理のためにポリシーベースの
自動化を行います。 Provisioning Manager が提供される前は、ストレージを手動で作成（ESX
をロードして、最初の VM を作成）する必要がありました。このため、 Provisioning Manager
67
インフラの導入
でこうした既存のストレージオブジェクトを管理するには、データセットとして Provisioning
Manager にインポートする必要があります。データセットは、自身のレプリカを含むユーザ
データの集合で、単一のエンティティとして管理されます。データセットには、ポリシーを適
用してメンバーのプロビジョニングや管理の方法を定義します。以下のセクションでは、この
手順の概要を説明します。
•
インフラ・ストレージ・リソース・プールの作成 — リソースプールは、データセットをプロ
ビジョニングするために使用するストレージシステムやコンテナの集合です。この環境に対
してさらにストレージをプロビジョニングするため、「NetApp1」システムと「NetApp2」
システムからのストレージを、 1 つのリソースプールに割り当てます
•
インフラ・プロビジョニング・ポリシーの作成 —VMware のベストプラクティスでは、デー
タストアごとの VM の数に制限を設けることを推奨しています。このため、追加の NFS
データストア（フレキシブルボリューム）は、環境のスケールアウトに合わせてプロビジョ
ニングする必要があります。 Provisioning Manager は、追加の NFS データストアを導入す
る方法を決定するポリシーを実行して、標準化とストレージ管理のベストプラクティスを実
現します
•
インフラのデータセットの作成 — インフラのデータセットは、その環境に導入されたすべて
の NFS データストアで構成されています。「NetApp1」と「NetApp2」で作成されたすべて
の NFS データストアを格納できるよう、 2 つのデータセットを作成します
インフラ・ストレージ・リソース・プールの作成
DataFabric Manager サーバの NetApp Operations Manager コンポーネントと Provisioning
Manager コンポーネントをインストールしたら、ストレージ・リソース・プールを作成できま
す。このリソースプールは、このあとの導入手順でテナントストレージのプロビジョニングに
も使用します。以下の手順に従い、「NetApp1」と「NetApp2」の両ストレージコントローラに、
アグリゲート「aggr1」を含むリソースプールを作成します。
ステップ 1
NetApp Management Console の左側のペインで、 [Data] タブの [Resource Pools] に移動しま
す。 [Add] をクリックして、新しいリソースプールを追加します。
図 42
ステップ 2
68
新しいリソースプールの追加
[General Properties] ウィンドウで、 [Name]、 [Description] など必要な情報を入力します。こ
の例では、リソースプール名として「SMT_1」を使用します。 [Next] をクリックします。
インフラの導入
図 43
ステップ 3
[General Properties] ウィンドウ
[Physical Resources] ウィンドウで、 [Resource Type] ドロップダウンボックスを
[Aggregates] に変更し、 [NetApp1] と [NetApp2] の両コントローラから [aggr1] を選択して、
右側の [Resources in this resource pool] 列に移動させます。 [Next] をクリックします。
69
インフラの導入
図 44
ステップ 4
70
[Physical Resources] ウィンドウ
[Labels] ウィンドウで、リソースプールにカスタムラベルを追加します。このラベルは、あと
でプロビジョニング元として使用するストレージオブジェクトを手動で選択するのに利用しま
す。この例では、ラベルとして「SMT_1」を使用します。 [Next] をクリックします。
インフラの導入
図 45
[Labels] ウィンドウ
ステップ 5
[Space Thresholds] ウィンドウで、スペースやオーバーコミットメントのしきい値を設定しま
す。 [Next] をクリックします。
ステップ 6
[Summary] ウィンドウで設定の概要を確認し、 [Finish] をクリックしてコミットします。
図 46 は、上記の手順が完了した状態を示しています。
図 46
[Data Resource Pools] ウィンドウ
71
インフラの導入
インフラ・ストレージ・プロビジョニング・ポリシーの作成
以下の手順に従い、インフラ NAS データストア用のストレージ・プロビジョニング・ポリシー
を作成します。このポリシーは、 NFS データストア用のストレージのプロビジョニング方法を
規定し、標準化を実現し、この共通の管理タスクを一貫性をもって行えるようにします。
ステップ 1
NetApp Management Console で [Policies] タブの [Provisioning] に移動します。 [Add] をク
リックして、新しいポリシーを追加します。
ステップ 2
[Next] をクリックします。
ステップ 3
[General Properties] ウィンドウで、このポリシーにインフラストレージのポリシーだとわかる
名前を付けます。この例のポリシーは「infrastructure_NAS_datastore」です。必ず [NAS] ラジ
オボタンを選択してください。このストレージは NFS プロトコルを使用して VMware ESX にエ
クスポートされるためです。 [Next] をクリックします。
図 47
ステップ 4
72
[General Properties] ウィンドウ
[Availability Properties] ウィンドウで、ストレージがこのポリシーで必要となる適切な耐障害
性属性を選択します。この例では、 RAID-DP とアクティブ / アクティブ構成を指定しました。
[Next] をクリックします。
インフラの導入
図 48
ステップ 5
[Availability Properties] ウィンドウ
[Resource Label] ウィンドウで、リソースプールメンバーを必要なサブセットにフィルタリン
グするラベルを選択します。このラベルを使用した場合、このラベルを所有するリソースプー
ルメンバーからのプロビジョニングにのみ、ポリシーが適用されるようになります。前の手順
で作成したリソースプールのラベルは「SMT_1」でした。この例では、ラベルとして
「SMT_1」を使用します。 [Next] をクリックします。
73
インフラの導入
図 49
ステップ 6
74
[Resource Label] ウィンドウ
[Deduplication Settings] ウィンドウで、 [Enable deduplication on volumes] をオンにして、
必要なスケジュールを設定します。 [Next] をクリックします。
インフラの導入
図 50
ステップ 7
[Deduplication Settings] ウィンドウ
[NAS Container Properties] ウィンドウで、必要なクォータ設定とスペースリザベーション設
定を選択します。 [Next] をクリックします。
75
インフラの導入
図 51
ステップ 8
76
[NAS Container Properties] ウィンドウ
[Space Thresholds] ウィンドウで、警告するスペースのしきい値として必要な値を選択します。
[Next] をクリックします。
インフラの導入
図 52
ステップ 9
[Space Thresholds] ウィンドウ
必要に応じて、 [Provisioning Script] ウィンドウで、ポストプロビジョニング・スクリプトへ
のパスを追加します。 [Next] をクリックします。
ステップ 10 [Summary] ウィンドウで設定を確認し、 [Finish] をクリックしてコミットします。
結果として表示されるウィンドウは図 53 のようになります。
77
インフラの導入
図 53
[Provisioning Script] ウィンドウ
インフラのデータセットの作成
データセットは、ユーザ・データ・オブジェクトの集合で、単一のユニットとして管理されま
す。インフラストレージ用の NFS データストアは vFiler 内に導入します。それぞれのインフラ
vFiler にデータセットを作成します（「NetApp1」に「infrastructure1」、「NetApp2」に
「infrastructure2」）。
ステップ 1
NetApp Management Console の左側のペインで、 [Data] タブの [Datasets] に移動します。
[Add] をクリックして、新しいデータセットを追加します。
図 54
ステップ 2
78
データセットの追加
データセットの追加ウィザードの最初のウィンドウで [Next] をクリックします。
インフラの導入
ステップ 3
[General Properties] ウィンドウで、新しいデータセットの名前を入力します。必要に応じて、
[Description]、 [Owner]、 [Contact]、 [Time zone] の情報を追加します。このデータセットに
は、以前に作成された、すべての VM ファイルを保存する共有インフラデータストアが含まれ
ています。
図 55
ステップ 4
[General Properties] ウィンドウ
[Provisioning] ウィンドウで、ドロップダウンメニューから [NAS] プロビジョニング・ポリ
シーを選択し、 [Resource Pools in this Node] 列にリソースプールを追加します。また、 NFS
エクスポートを有効にして、 NFS エクスポートへアクセスするのに適切なホストを設定しま
す。これは、それぞれの VMware ESX ホストの NFS VMkernel ポートで設定する必要がありま
す。
79
インフラの導入
図 56
ステップ 5
80
[Provisioning] ウィンドウ
[vFiler Unit] ウィンドウで、 [infrastructure1] vFiler を選択して、 [Next] をクリックします。
インフラの導入
図 57
[vFiler Unit] ウィンドウ
ステップ 6
[Provision Storage] ウィンドウで、 [No] ラジオボタンを選択し、 [Next] をクリックします。
ステップ 7
[Preview] ウィンドウでエラーのないことを確認したら、 [Next] をクリックします。
ステップ 8
[Summary] ウィンドウで、 [Finish] をクリックします。
「infrastructure2」 vFiler 用のデータセットも同じ手順で作成します。結果として表示される
ウィンドウは図 58 のようになります。
81
インフラの導入
図 58
[Datasets] ウィンドウ
データセットの作成が完了したら、既存のインフラ・ストレージ・オブジェクトをインポート
して、新しいデータセットの 1 つに割り当て、すべてのストレージオブジェクトを一元管理で
きるようにします。
NAS データストアで、以下の手順を実行します。
ステップ 1
「infrastructure1」 vFiler に対応するデータセットをハイライト表示して、 [Edit] をクリックしま
す。
ステップ 2
左側のペインで、 [Physical Resources] をクリックします。
ステップ 3
[Available Resources] 列で、 [infrastructure1] をハイライト表示し、 [>] ボタンを使用して、
右側の [Resources in this Dataset] 列に移動させます。 [Next] をクリックします。
ステップ 4
[Finish] をクリックします。
ステップ 5
[Close] をクリックします。
同じ手順で、「NetApp2」のインフラ vFiler を対応するデータセットに追加します。
以上の手順により、 NetApp Provisioning Manager のポリシーに従ってインフラストレージをプ
ロビジョニングし、管理できるようになります。このポリシーに従わないストレージ・プロビ
ジョニングは、状況の改善のため、クラウド管理者に報告されます。 NetApp Operations
Manager は、 DataFabric Manager サーバアプリケーションの RBAC 管理、監視、アラートを
設定するのに使用します。詳細については、 NetApp NOW のサービスとサポートの Web サイト
（http://now.netapp.com）にある DataFabric Manager ドキュメントで Provisioning Manager と
Operations Manager を参照してください。
82
インフラの導入
NetApp SANscreen の導入
NetApp SANscreen は、クラウド・サービス・プロバイダのネットワーク・ストレージ・イン
フラ全体をグローバルにエンドツーエンドで可視化する、統合製品スイートです。以下のよう
に NetApp SANscreen を設定して、サービスレベルのポリシーに従い、インフラ環境内の接続
を維持します。
ステップ 1
『SANscreen Installation and Administration User Guide』の説明に従い、 SANscreen Server を
インストールし、ライセンスを設定します。
ステップ 2
[SANscreen Admin] --> [Data Sources] ウィンドウを使用して、 SMT インフラデバイス用の
データソースを定義します。
図 59
ステップ 3
[Data Sources] ウィンドウ
SANscreen がデータソースを正常に取得でき、 ESX ホストからストレージへのインフラサービ
スパスを解決できたら、パスは、 [SANscreen Service Insight] --> [Paths] ウィンドウから調
べることができるようになります。最初は、サービスポリシーが適用されていないため、すべ
てのパスがポリシーに違反しているとして [unauthorized] とマーク付けされています。図 60 は
この状態（パス、トポロジ、違反の詳細）を示しています。
83
インフラの導入
図 60
ステップ 4
84
[Paths] ウィンドウ
パスポリシーを適用して、このサービスパスを許可し、違反を解消します。ポリシーは、
グローバルにも（[Policy] --> [FC Global Policy]）、パスごとにも（[path] を選択し、右クリッ
ク --> [Set Path Policy]）、ホストごとにも（[path] を選択し、右クリック -->[Set Host
Policy]）適用できます。図 61 は、 FC ポリシーをグローバルに適用して必要なレベルの冗長性
を確保したあとの適用状態を示しています。
インフラの導入
図 61
ステップ 5
[Paths] ウィンドウ
『SANscreen Installation and Administration User Guide』の説明に従い、 SANscreen VM
Insight VMware vCenter プラグインをインストールします。インストールすると、 vCenter に
[SANscreen] レポートタブが作成されます。
85
テナント・プロビジョニング
図 62
ステップ 6
[SANscreen] レポートタブウィンドウ
SANscreen Explorer クライアントや vSphere vCenter の [SANscreen] レポートタブを使用し
て、インフラ環境内でエンドツーエンドにサービスパスとポリシー・コンプライアンスを関連
付けられることができます。
テナント・プロビジョニング
ここまでのセクションでセキュア・マルチテナンシー環境が稼働するようになったため、この
セクションでは新しいテナントをプロビジョニングするのに必要な手順について説明します。
テナントのネットワーク接続
SMT 設計は、設計ガイドで説明されている基本的な VLAN の分離の原則に基づくテナントの
ネットワーク接続モデルを提供しています。 VLAN に基づく分離を行うと、 SMT 環境が、セ
キュリティ、 QoS などのサービスポリシーを、特定のテナントの要件を満たすために必要な機
能を指定した VM ごとに適応できるようになります。このため、この設計では、 VM ごとに 3 つ
の仮想 NIC が有効になっています。それぞれの仮想 NIC は、特定のテナントで必要なタイプの
通信を分離します。 VM のそれぞれの仮想 NIC は、セキュリティやサービス保証の要件に基づ
いて、分離された各トラフィックフロー（フロントエンド、バックエンド、管理）にマッピン
グされます。それぞれの仮想 NIC は、単一の VLAN のみを伝送するため、それぞれの Nexus
1000V ポートはアクセスポートになります。これによりそれぞれの VM の接続とプロビジョニ
ングが簡易化されます。表 8 は、サンプルのテナントと、提供される機能のタイプごとに指定さ
れた各 VLAN の接続マップを示しています。
86
テナント・プロビジョニング
表8
テナント VLAN の接続マップ
VM 仮想 NIC
VLAN
機能
サービス保証
セキュリティ保
護されたサービ
ス分離
フロントエンド VLAN
400
アプリケーションへのトランザク
ション、バルク、 GUI のフロント
エンドアクセス
あり
あり
バックエンド VLAN
401
ストレージと多層アプリケーショ
ンのアクセス
あり
あり
VM とアプリケーション
の管理
402
テナントごとの VM への管理アク
セスとアプリケーション管理
デフォルトの
サービス
あり
以下に、設計ガイドで推奨されている VLAN の命名規則に従って行った設定の例を示します。
この例では「Sales」をプラチナサービスのテナントとして使用しています。
Nexus 7000、 5000、 1000V での VLAN の有効化
ステップ 1
それぞれのテナントにおいて、以下の VLAN を有効にします。
vlan 400
name P_Sales_Transactional_10_120_126
vlan 401
name P_Sales_IO_10_100_31
vlan 402
name Sales_Mgmt_10_120_128
VLAN の名前はそれぞれ、指定されているクライアントのサービスレベル（プラチナ [P]、ゴー
ルド [G]、シルバー [S] など）、クライアント名、 VLAN の機能のタイプ、サブネットを反映し
ています。すべてのデバイスに上記のような VLAN 命名規則に則った名前が付けられるわけで
はないということに注意してください。ただし、各デバイスで、意味のある命名規則を採用す
る必要があります。
以下は、デフォルトゲートウェイの冗長性を定義するために必要です。
ステップ 2
HSRP プライマリの設定：
interface Vlan400
no shutdown
ip address 10.120.126.3/22
hsrp 1
authentication text c1sco
preempt delay minimum 180 reload 180
timers 1 3
ip 10.120.126.1
ステップ 3
HSRP セカンダリの設定：
interface Vlan400
no shutdown
ip address 10.120.126.4/22
hsrp 1
authentication text c1sco
preempt delay minimum 180 reload 180
priority 10
timers 1 3
ip 10.120.126.1
87
テナント・プロビジョニング
UCS 6100 UCSM
VLAN のプロビジョニング手順は LAN の設定（[LAN] タブ）で説明されています。
Nexus 1000V のポートプロファイル
次のポートプロファイルが「Sales」テナントの一部として作成されます。
port-profile type vethernet P_Sales_Transactional_10_120_126 <-- フロントエンドのプラチナ
テナント
vmware port-group
switchport mode access <-- 1 つの VLAN しか伝送されないため、ポートモードは access
switchport access vlan 400
no shutdown
state enabled
port-profile type vethernet P_Sales_IO_10_100_31 <-- プラチナ I / O 用のバックエンド・
トラフィック
vmware port-group
switchport mode access
switchport access vlan 401
no shutdown
state enabled
port-profile type vethernet Sales_Mgmt_10_120_128 <-vmware port-group
switchport mode access
switchport access vlan 402
no shutdown
state enabled
「Sales」テナント用の管理トラフィック
所定のテナント用の VM を必要なテナント VM の作成の手順に従ってプロビジョニングしたら、
上記のポートプロファイルの関連付けを行います。
必要なテナント VM の作成
環境内でテナント VM をプロビジョニングするにはさまざまな方法があります。作成する VM
の数とタイプにより、全体的なストレージ使用量やプロビジョニングにかかる時間の点で、よ
りメリットの大きい方法が異なります。 VM のプロビジョニングに利用できる方法を以下に概説
します。
VM のプロビジョニング方法
88
•
VMware の「New Virtual Machine」ウィザード —VMware VCenter に内蔵されている機能
で、このウィザードから設定に必要な変数をすべて入力できるため、こうした情報から、結
果として単一の VM をプロビジョニングできます。この方法は、プロビジョニングする VM
の数が少ない場合や、クローン元のゴールド VM を最初に作成する場合に最適です
•
VMware の「Clone Virtual Machine」ウィザード — VMware VCenter に内蔵されている機能
で、既存の VM の 1 対 1 のクローニングを可能にします。この方法は、プロビジョニングす
る VM の数が少ない場合に最もよく使用されます。クローニングするごとに、元のストレー
ジとまったく同じ量のストレージを消費する VM が 1 個作成されるため
です
•
VMware の「Deploy from Template」ウィザード —VMware vCenter に内蔵されている機能
で、既存の VM テンプレートから VM を作成できます。この方法も、プロビジョニングする
VM の数が少ない場合に最適です。プロビジョニングに必要な時間やストレージ使用量が、
作成する VM の数に比例して大きくなるためです
テナント・プロビジョニング
•
NetApp Rapid Cloning Utility （RCU） 3.0—VMware vCenter のプラグイン機能として利用
できます。 RCU 3.0 は、 VMware のクローニング機能と NetApp ストレージのクローニング
機能の利点を併せ持っています。この方法は、プロビジョニングする VM の数の多少にか
かわらず、時間とリソースの効率性が高いプロビジョニングを実施するのに最適です。最
初に VM をクローニングするときは、追加のストレージは使用されません。新しい VM は
事実上、ゴールド VM と同じストレージを使用するためです。クローンがディスクへの書
き込みを行い、クローンとゴールド VM との間に差異が生じないかぎり、追加のストレー
ジが消費されることはありません。 RCU 3.0 のユーティリティとドキュメントは、 NetApp
NOW のサービスとサポートのサイト（http://now.netapp.com）の [Download Software] リ
ンクからダウンロードできます。
VM ストレージ
どの VM プロビジョニング方法を使用する場合も、 VM ファイルの保存に共有インフラデータ
ストアを使用することが重要です。このデータストアは、 VM （ゲスト OS）データファイル用
にのみ使用します。一方、すべてのアプリケーション、データベースなどのデータはテナント
の vFiler に保存され、 IP ベースのプロトコル経由でゲスト OS に直接接続されます。
NetApp ストレージシステム上でのテナント vFiler の作成
テナント vFiler は、 NetApp Provisioning Manager か NetApp ストレージコントローラのコマン
ドラインを使用して作成できます。 NetApp Provisioning Manager を使用してテナント vFiler を
作成する手順の概要は以下のとおりです。コマンドラインを使用した場合の手順も、付録 A —
コマンドリストで説明しています。
ステップ 1
NetApp Management Console の左側のペインで、 [Hosts] の [vFiler Unit] タブに移動します。
[Add] をクリックして、テナント vFiler を追加します。
図 63
ステップ 2
テナント vFiler の追加
vFiler ユニットの追加ウィザードの手順に従い、前のセクションで収集したテナントに関連す
る情報を使用して「Sales」テナント vFiler を作成します。新しい vFiler の名前、 IP スペース、
許可するストレージプロトコルを入力します（図 64 参照）。
89
テナント・プロビジョニング
図 64
ステップ 3
手動で vFiler を配置する場合は物理コントローラを選択し、この選択を自動化する場合は必要な
リソースプールを指定します。図 65 では、リソースプール「SMT_1」は「NetApp1」と
「NetApp2」の両方のストレージコントローラ上の「aggr1」で構成されています。
図 65
ステップ 4
90
[vFiler Unit Information] ウィンドウ
[vFiler Unit Hosting Storage System] ウィンドウ
次に、 [Create and Setup vFiler Unit] を選択します。
テナント・プロビジョニング
ステップ 5
ステップ 6
「Sales」 vFiler で必要なネットワーク・インターフェイス情報を入力します。
図 66
[Network Interface Setting] ウィンドウ —1
図 67
[Network Interface Setting] ウィンドウ —2
テナント vFiler からデータをエクスポートするのに CIFS を使用する場合は、 [Perform CIFS
setup] チェックボックスをオンにして、適切なワークグループ名を入力します。
91
テナント・プロビジョニング
ステップ 7
テナント vFiler に適切なルートパスワードを入力します。
ステップ 8
必要に応じて「pre」スクリプトと「post」スクリプトを入力します。
ステップ 9
表示された設定の概要を確認し、 [Finish] をクリックします。
これで「Sales」 vFiler が正常に作成されました。
図 68
[vFiler Units] ウィンドウ
テナント仮想ストレージコントローラへのストレージのプロビジョニ
ング
VM と NetApp vFiler の導入が完了したら、テナントで使用できるようストレージリソースを
vFiler にプロビジョニングできるようになります。以下の例では、 NetApp Provisioning
Manager を使用してストレージリソースを作成し、「Sales」テナント vFiler に割り当てます。
コマンドラインでの実行手順については、付録 A — コマンドリストを参照してください。
ストレージをテナント vFiler に追加する手順は大きく 2 つに分けられます。 1 つ目の手順では、
テナント用のストレージ・プロビジョニング・ポリシーを 1 つ以上作成し、プロビジョニング
されるすべてのストレージが特定のテナントの要件を満たすようにします。 2 つ目の手順では、
このポリシーを利用し、テナントのリソース要件に従ってテナントストレージをプロビジョニ
ングします。
92
ステップ 1
NetApp Management Console の左側のペインで、 [Policies] の [Provisioning] タブに移動しま
す。 [Add] をクリックして、新しいテナント・ストレージ・ポリシーを作成します。
ステップ 2
プロビジョニング・ポリシーの追加ウィザードの最初のウィンドウで [Next] をクリックします。
ステップ 3
[General Properties] ウィンドウで、テナントの名前と、必要に応じて概要を入力します。この
ページでは、どのような種類のストレージにこのポリシーを適用するかを指定できます（NAS、
SAN、セカンダリ）。構成をわかりやすくするため、ポリシー名にポリシーの説明を入力しま
す。以下の例では、ポリシー名として「Sales_NAS」を使用しています。
テナント・プロビジョニング
図 69
ステップ 4
[General Properties] ウィンドウ
[Availability Properties] ウィンドウで、このポリシーにより適用される可用性機能のうち利用
したいものすべてをオンにします。この例では、「Sales」テナントで [RAID-DP (Double disk
failure)] と [Storage controller failure (active/active configuration)] 保護を利用する必要が
あります。すなわち、「Sales」テナント用のすべての NAS ストレージは以下のものからプロビ
ジョニングする必要があることを意味します。
•
アクティブ / アクティブペアで設定されているストレージコントローラ
かつ
•
RAID-DP で設定されているアグリゲート
正常にプロビジョニングするには、ストレージが上記の要件を 2 つとも満たしている必要があ
ります。
93
テナント・プロビジョニング
図 70
ステップ 5
94
[Availability Properties] ウィンドウ
[Resource Label] ウィンドウでは、必要に応じて、このポリシーで利用できるストレージリ
ソースの選択肢を制限できます。 [Resource label] は、ドロップダウンメニューから選択するこ
とも、空白のままにしておくこともできます。この例では、 [SMT_1] を選択します。 [SMT_1]
は、「NetApp1」と「NetApp2」ストレージコントローラ双方のアグリゲート「aggr1」を含む
リソースプールであるためです。
テナント・プロビジョニング
図 71
ステップ 6
[Resource Label] ウィンドウ
[Deduplication Settings] ウィンドウで、 [Enable deduplication on volumes] をオンにし、ポ
リシーによる重複排除サービスの設定方法を選択します。このポリシーは、プロビジョニング
する「Sales」 NAS ストレージが、重複排除機能を有効にして、希望のスケジュールに従い実
行されるようにします。この例のポリシーには、毎日午前 12:00 に自動的に実行される重複排
除機能が含まれています。
95
テナント・プロビジョニング
図 72
ステップ 7
96
[Deduplication Settings] ウィンドウ
[NAS Container Properties] ウィンドウで、必要なクォータとスペースギャランティ設定を指
定します。この値は、テナントの要件によって異なります。この例のボリュームでは、スペー
スギャランティや Snapshot コピーは必要ありません。
テナント・プロビジョニング
図 73
[NAS Container Properties] ウィンドウ
ステップ 8
[Space Thresholds] ウィンドウで、警告を表示するための希望のしきい値を設定します。
[Next] をクリックします。
ステップ 9
[Provisioning Script] ウィンドウでは、必要に応じて、ポストプロビジョニング処理用のスク
リプトを指定できます。 [Next] をクリックします。
ステップ 10 「Sales_NAS」ポリシー設定の最終的な概要を確認し、 [Finish] をクリックして保存します。
97
テナント・プロビジョニング
図 74
[Final Summary] ウィンドウ
図 75
[Policies Provisioning] ウィンドウ
いったん作成したプロビジョニング・ポリシーは、繰り返し使用することで以降のストレージ・
プロビジョニングの自動化と標準化を図ることができます。
98
ビジネス / セキュリティポリシーのテナントへの適用
ビジネス / セキュリティポリシーのテナントへの適用
テナントのプロビジョニングが完了したら、クラウド管理者はビジネス / セキュリティポリシー
を、パフォーマンスやアクセスの制限という形で適用できます。
ネットワークサービス保証
この導入ガイドでは、テナントごとに単一のサービスレベルを適用することを想定しています
が、それぞれのテナントの要件を組み合わせて、複数のサービスタイプを複数のテナントに適
用できるようにすることもできます。ただしその場合は、複数のテナントで特定のサービスク
ラスを共有することになります。テナントのサービスレベルを保証するには、以下の情報を収
集する必要があります。
•
トランザクション時間に影響を受ける重要なアプリケーションの要件
•
ストレージ I / O パフォーマンス要件
•
バルク・トランザクション・アプリケーションの帯域幅
テナントデータ用の一般的な QoS 分類については、図 76 を参照してください。トラフィック
フローの特性やサービスの分離基準の詳細については、設計ガイドを参照してくだ
さい。
図 76
テナント・データ・トラフィックの CoS 分類
設定要件はそれぞれのサービスレベルによって異なるため、表 9 にテナントサービスの 3 つの
クラスすべてについてのマップを示します。それぞれのトラフィック・サービス・クラスは、
直接 VLAN にマッピングしています。 VM が、それぞれフロントエンド（ユーザインターフェ
イス）、バックエンド（ストレージとアプリケーション層）、管理 VLAN に分離されているため
です。
99
ビジネス / セキュリティポリシーのテナントへの適用
表9
テナントサービスの 3 つのクラスのマップ
トラフィックタイプ
分類カテゴリ
トラフィック・エ
ンジニアリングの
ファブリック / ク
CoS ラス
プラチナ I / O の低遅延、帯
域幅保証
テナントデータ
5
ファブリック B /
プラチナ
NFS でファブリック A を使
用しているため、 CoS 5 を使
用、ファブリック B でロード
シェアリング
プラチナのトランザク
ション
テナントデータ
5
ファブリック A /
プラチナ
即応性の求められるトラ
フィック
バルク
テナントデータ
2
ファブリック A /
ブロンズ、ファ
ブリック B / ブロ
ンズ
バルクと高スループットのト
ランザクション
VLAN 分類の根拠
以下の設定手順はインフラ保護サービスに基づいて構成されているため、この機能に関連する
一部の設定のみを説明しています。
プラチナサービス
Nexus 1000V ：
ip access-list mark_CoS_5
statistics per-entry
10 permit ip any 10.100.31.0/24 <-- プラチナ NFS vFiler 用のバックエンド・トラフィック
20 permit ip 10.120.126.0/24 any <-- 即応性の求められるアプリケーション用のフロントエンド・トラ
フィック
class-map type qos match-any Platinum_Traffic
description NFS_N1kv_CtrPkt_Plat_IO_Transactional
match access-group name mark_CoS_5 <-- トラフィックを分類するアクセスグループを追加
ポリシーマップ「Platinum_CoS_5」は定義済みで、それぞれの VLAN ポートプロファイルに関
連付けられています。
port-profile type vethernet P_Sales_IO_10_100_31 <-- プラチナ VM 用のバックエンド I / O Veth
switchport access vlan 301
service-policy type qos input Platinum_CoS_5 <-- ポリシーマップの関連付け
pinning id 1 <-- ファブリック B
no shutdown
state enabled
port-profile type vethernet P_Sales_Transactional_10_120_126 <-- フロントエンドのトランザク
ション
switchport access vlan 126
service-policy type qos input Platinum_CoS_5
pinning id 0 <-- ファブリック A
state enabled
Nexus 5000 ：
テナント固有の分類やキューイングを、すでに定義されているポリシーマップとクラスマップ
に以下のように追加します。
100
ビジネス / セキュリティポリシーのテナントへの適用
警告
この設計では、 vPC テクノロジを利用してループの少ない設計を行っています。 vPC 構成で
は、 2 つの Nexus 5000 の設定に、一貫性のある一連のグローバル設定を使用する必要がありま
す。 vPC を有効にする前に、 QoS ポリシーをシステムレベルで有効にすることを推奨します。
vPC を構成後に QoS 設定を適用する場合は、両方の Nexus 5000 で QoS を同時に有効にする
必要があります。この方法でないと、 vPC トポロジに属するすべての VLAN が無効になりま
す。
ip access-list classify_CoS_5
20 permit ip 10.100.31.254/32 any <-- NetApp が送信元のトラフィック用のプラチナ vFiler を追加
残りの設定は、インフラ保護サービスですでに定義されています。
ゴールドサービス
表 10
ゴールドサービス — フロントエンドのゴールドのトランザクション、バックエンドの I / O の中程度の遅延、ド
ロップなし
トラフィック・エン
ジニアリングのファ
ブリック / クラス
トラフィックタイプ
分類カテゴリ
CoS
VLAN 分類の根拠
ゴールド I / O の中程度の
遅延、ドロップなし
テナントデータ
6
ファブリック A /
ゴールド「ドロップ
なし」からバッファ
まで
プラチナ I / O でファブリック
A を使用しているため、ファ
ブリック A でロードシェアリ
ング
ゴールドのトランザク
ション
テナントデータ
6
ファブリック B /
ゴールド
即応性の求められるトラ
フィック
Nexus 1000V ：
以下のようにテナント固有の分類を追加します。残りの設定は、インフラ保護サービスですで
に定義されています。
ip access-list classify_CoS_6
20 permit ip 10.100.21.254/32 any <-- NetApp が送信元のトラフィック用のゴールド vFiler を追加
30 permit ip 10.120.125.0/24 any <-- フロントエンドのゴールドサービスのトラフィック
ポリシーマップ「Gold_CoS_6」は定義済みで、それぞれの VLAN ポートプロファイルに以下
のように関連付けられています。
port-profile type vethernet G_MKT_IO_10_100_21 <-- ゴールド VM 用のバックエンド I / O Veth
switchport access vlan 201
service-policy type qos input Gold_CoS_6
pinning id 0 <-- ファブリック A
port-profile type vethernet G_Mkt_Transactional_10_120_125 <-- フロントエンドのトランザク
ション
switchport access vlan 125
service-policy type qos input Gold_CoS_6
pinning id 1 <-- ファブリック B
101
ビジネス / セキュリティポリシーのテナントへの適用
Nexus 5000 ：
警告
この設計では、 vPC テクノロジを利用してループの少ない設計を行っています。 vPC 構成では、
2 つの Nexus 5000 の設定に、一貫性のある一連のグローバル設定を使用する必要があります。
vPC を有効にする前に、 QoS ポリシーをシステムレベルで有効にすることを推奨します。 vPC
を構成後に QoS 設定を適用する場合は、両方の Nexus 5000 で QoS を同時に有効にする必要が
あります。この方法でないと、 vPC トポロジに属するすべての VLAN が無効になります。
テナント固有の分類やキューイングを、すでに定義されているポリシーマップとクラスマップ
に以下のように追加します。
Nexus 5000 が宛先の NetApp ゴールド vFiler のストレージトラフィックに、クラスマップを適
用し、関連付けて、適切な CoS 設定でマーク付けします。
ip access-list classify_CoS_6 <-- NetApp が送信元のトラフィック用のゴールド vFiler を定義
10 permit ip 10.100.21.254/32 any <-- ゴールド vFiler のソース
class-map type qos Gold_Traffic
match access-group name classify_CoS_6
「Gold_Traffic」は「Global_Classify_NFS_Application」ポリシーマップで定義されていなかっ
たため、分類子をグローバルに有効にするには、追加のアップデートが必要です。
policy-map type qos Global_Classify_NFS_Application
class Gold_Traffic
set qos-group 3
以下の設定は、上記の QoS グループで分類された、ストレージが送信元の NetApp トラフィッ
クに CoS を適用します。 QoS パラメータを変更するには、「ネットワーク QoS」タイプのクラ
スマップとポリシーマップが必要です。
class-map type network-qos Gold_Traffic_NQ
match qos-group 3
以下のポリシーマップは、上記のクラスマップを使用して、ゴールド vFiler NFS トラフィック
に CoS 値を設定します。
policy-map type network-qos Netapp_Qos
class type network-qos Gold_Traffic_NQ
set cos 6
queue-limit 30000 bytes
残りの設定は、インフラ保護サービスですでに定義されています。
シルバーサービス
表 11
シルバーサービス
トラフィックタイプ
分類カテゴリ
トラフィック・エ
ンジニアリングの
ファブリック / ク
CoS ラス
VLAN
分類の根拠
シルバーのトランザクショテナントデータ
ン
4
ファブリック A /
シルバー
vMotion が発生した場合のみ
vMotion と競合
シルバー I / O の高遅延、
ドロップ / 再転送
4
ファブリック B /
シルバー
ファブリック A で vMotion を
使用
102
テナントデータ
ビジネス / セキュリティポリシーのテナントへの適用
Nexus 1000V ：
テナント固有の分類を追加します。残りの設定は、インフラ保護サービスですでに定義されて
います。
ip access-list mark_CoS_4
20 permit ip any 10.100.41.0/24 <-- NetApp が送信元のトラフィック用のシルバー vFiler を追加
30 permit ip 10.120.127.0/24 any <-- フロントエンドのゴールドサービスのトラフィック
class-map type qos match-all Silver_Traffic
match access-group name mark_CoS_4
ポリシーマップ「Gold_CoS_6」（定義済み）は、それぞれの VLAN ポートプロファイルに以下
のように関連付けられています。
port-profile type vethernet S_HR_IO_10_100_41 <-- ゴールド VM 用のバックエンド I / O Veth
switchport access vlan 401
service-policy type qos input Silver_CoS_4
pinning id 0 <-- ファブリック A
port-profile type vethernet S_HR_Transactional_10_120_127 ? Front-end Transactional
switchport access vlan 127
service-policy type qos input Silver_CoS_4
pinning id 1 <-- ファブリック B
また、シルバーサービスは「固定レート」サービスとみなされるため、レート制限が適用され
ます。
policy-map type qos Silver_CoS_4
class Silver_Traffic
set cos 4
police cir 5 mbps bc 200 ms conform transmit violate set dscp dscp table
pir-markdown-map
上記のポリシーマップでは、単一のクラスマップ（定義済み）にトランザクションとストレー
ジ（I / O）分類の両方があるということに注意してください。つまり、このクラスマップのす
べてのトラフィックがポリシングに従います。個別のポリシングが必要な場合は、各タイプの
トラフィックに個別のクラスマップを定義する必要があります。上記の例は、 SMT の導入時に
行った 3 番目のサービスレベルと最後のサービスレベルの差別化を示しています。
Nexus 5000 ：
警告
この設計では、 vPC テクノロジを利用してループの少ない設計を行っています。 vPC 構成で
は、 2 つの Nexus 5000 の設定に、一貫性のある一連のグローバル設定を使用する必要がありま
す。 vPC を有効にする前に、 QoS ポリシーをシステムレベルで有効にすることを推奨します。
vPC を構成後に QoS 設定を適用する場合は、両方の Nexus 5000 で QoS を同時に有効にする
必要があります。この方法でないと、 vPC トポロジに属するすべての VLAN が無効になりま
す。
テナント固有の分類やキューイングを、すでに定義されているポリシーマップとクラスマップ
に以下のように追加します。
Nexus 5000 が宛先の NetApp シルバー vFiler のストレージトラフィックに、クラスマップを適
用し、関連付けて、適切な CoS 値でマーク付けします。
ip access-list classify_CoS_4 <-- NetApp が送信元のトラフィック用のシルバー vFiler を定義
10 permit ip 10.100.41.254/32 any <-- シルバー vFiler のソース
class-map type qos Silver_Traffic
match access-group name classify_CoS_4
103
ビジネス / セキュリティポリシーのテナントへの適用
「Silver_Traffic」は「Global_Classify_NFS_Application」ポリシーマップでは定義されていない
ため、分類子をグローバルに有効にするには、追加のアップデートが必要です。
policy-map type qos Global_Classify_NFS_Application
class Silver_Traffic
set qos-group 4
以下の設定は、上記の QoS グループで分類された、ストレージが送信元の NetApp トラフィッ
クに CoS を適用します。 QoS パラメータを変更するには、「ネットワーク QoS」タイプのクラ
スマップとポリシーマップが必要です。
class-map type network-qos Silver_Traffic_NQ
match qos-group 4
以下のポリシーマップは、上記のクラスマップを使用して、シルバー vFiler NFS トラフィック
に CoS 値を設定します。
policy-map type network-qos Netapp_Qos
class type network-qos Silver_Traffic_NQ
set cos 4
queue-limit 30000 bytes
残りの設定は、インフラ保護サービスですでに定義されています。
バルクとデフォルトのサービス
表 12
トラフィッ
クタイプ
バルク / デ
フォルト
バルクとデフォルトのサービス
トラフィック・エンジニアリ
ングのファブリック / クラス
分類カテゴリ
CoS
テナントデータ
2 またファブリック A / ブロンズ、
は1
ファブリック B / ブロンズ
VLAN 分類の根拠
バルクと高スループットのトラ
ンザクション
このサービスクラスは、すべてのクライアントにプロビジョニングされます。以下の設定例で
は、バルク・トラフィック・サービスが別の VM 経由で提供されるため、別々のポートプロ
ファイルと QoS ポリシーを適用できます。
ip access list mark_CoS_2
10 permit ip 10.120.128.0/24 any
class-map type qos match-all Bulk_Bronze_Traffic
match access-group name mark_CoS_2
policy-map type qos Bulk_Bronze_CoS_2
class Bulk_Bronze_Traffic
set cos 2
port-profile type vethernet Sales_Bulk_10_120_128
vmware port-group
switchport mode access
switchport access vlan 128
service-policy type qos input Bulk_Bronze_CoS_2
pinning id 0
no shutdown
state enabled
ip access list mark_CoS_0
10 permit ip 10.120.129.0/24 any
class-map type qos match-all Bulk_Default_Traffic
match access-group name mark_CoS_0
104
ビジネス / セキュリティポリシーのテナントへの適用
policy-map type qos Bulk_Default_CoS_0
class Bulk_Default_Traffic
set cos 0
port-profile type vethernet Mkt_Bulk_10_120_129
vmware port-group
switchport mode access
switchport access vlan 129
service-policy type qos input Bulk_Default_CoS_0
pinning id 0
no shutdown
state enabled
Nexus 5000 ：
以下のクラスマップとポリシーマップは VM が宛先または送信元となるトラフィックに結び付
けられます。
class-map type qos Bronze_Transactional
match cos 2
policy-map type qos Global_Classify_NFS_Application
class Bronze_Transactional
set qos-group 5
分類子（QoS）を「キューイング」ポリシーマップに結び付けるには、以下の設定が必要です。
class-map type network-qos Bronze_Traffic_NQ
match qos-group 5
policy-map type network-qos Netapp_Qos
class type network-qos Bronze_Traffic_NQ
queue-limit 30000 bytes
以下の設定は、ブロンズ・トラフィック・タイプでキューイングを有効にします。
class-map type queuing Bronze_Traffic_Q
match qos-group 5
メモ
ストレージ向けのブロンズサービスはないため、ブロンズ用の CoS 設定はありません。ただ
し、 VM やこのクラスのユーザが送信元のトラフィックの統計情報を確認するには、この分類
カテゴリが必要です。
ブロンズ・トラフィック・クラス用の帯域幅の割り当てと、クラスデフォルト・トラフィック
用の自動レフトオーバー割り当てを以下に示します。
policy-map type queuing Global_BW_Queuing
class type queuing Bronze_Traffic_Q
bandwidth percent 43
class type queuing class-fcoe
bandwidth percent 0
class type queuing class-default
bandwidth percent 43
メモ
すべてのユーザ定義クラスが適切な帯域幅を割り当てたあとに自動的に導き出される、「クラス
デフォルト」の帯域幅の割り当てに注意してください。クラスデフォルトの帯域幅は、明示的
な設定では変更できません。ユーザ定義クラスで帯域幅を変更する必要がある場合は、すべて
の帯域幅マップを再定義する必要があります。ユーザは帯域幅を最大 100% しか割り当てられ
ないためです。
105
ビジネス / セキュリティポリシーのテナントへの適用
FlexShare によるストレージリソースでの競合の管理
FlexShare は、個々のストレージボリューム間でのコントローラのリソース競合について優先順
位を付ける方法を提供します。ストレージリソースに制約がある場合は、設定した優先順位に
基づきボリュームがキューイングされます。リソース競合がない場合、キューイングは発生せ
ず、すべてのボリュームは同じ優先順位で実行されます。 FlexShare は、最初の起動時に、すべ
てのボリュームを「デフォルト」の優先キューに配置します。このデフォルトの優先キューで
は、競合が生じた場合の優先順位がどのボリュームでも同じになります。優先順位を割り当て
るときは、すべてのボリュームに優先順位が設定していることを確認してください。ボリュー
ムを「デフォルト」の優先キューに配置したままにしておくと、予期しない優先順位となるこ
とがあります。「デフォルト」設定のすべてのボリュームが、デフォルトのキューに割り当てら
れた同じリソースを共有しているためです。 FlexShare にはライセンスは必要ありません。
FlexShare を設定するには、次の手順を実行します。
ステップ 1
FlexShare の優先キューイングを有効にします。
NetApp1> priority on
Priority scheduler is running.
ステップ 2
ボリュームごとに適切な優先順位（VeryHigh、 High、 Medium、 Low、 VeryLow）を設定しま
す。
コマンドの構文例： priority set volume level=< 優先順位 > < ボリューム名 >
NetApp1> priority set volume level=VeryHigh Sales_app1
NetApp1> priority show volume Sales_app1
Volume Priority Relative Sys Priority
Service Priority
(vs User)
Sales_app1
on VeryHigh
Medium
VMware リソースプールを使用したコンピューティング・リソースの
管理
以下のリソースプール設定により、環境内のあらゆるテナントのコンピューティング（CPU と
メモリ）リソースを管理できます。
•
リザベーション（指定の量の CPU とメモリのリソースを確保しておく）
•
制限（テナントで消費できる CPU とメモリのリソースの最大量）
•
共有（リソース競合時に共有値が高いテナントを優先的に処理する）
•
拡張可能なリザベーション（有効にした場合、テナントのリソースプールが親リソースプー
ルの CPU とメモリのリソースを追加で利用できるようになる）
それぞれのテナントのリソースプールがテナントの SLA に基づいて設定した上記の属性を持つ
ようにしてください。設定を行うには、テナントのリソースプールを右クリックして [Edit] を
選択し、共有、リザベーション、制限、拡張可能なリザベーションを CPU、メモリの両方のリ
ソースで以下のように指定します。
106
ビジネス / セキュリティポリシーのテナントへの適用
図 77
リソースプールの設定
vShield によるテナントのネットワークアクセスの制限
vShield Manager と vShield エージェントをインストールし、 vShield 関連の対応する
Nexus1000V 一般設定を完了したら、以下の手順に従って vShield を使用し、個々の VM を保
護する必要があります。
•
保護が必要な VM に対応するポートプロファイルを VSD にマッピングする
•
vShield ファイアウォールの背後に VM を配置する
VSD メンバー VM ポートプロファイルの設定
それぞれのテナントの VM ポートプロファイルは、 vShield Virtual Service Domain （vsd1）の
メンバーとして指定する必要があります。 VLAN を使用した HR テナント
「HR_Bulk_10_120_130」の例を次に示します。
n1000v# configure terminal
n1000v(config)# port-profile HR_Bulk_10_120_130
n1000v(config-port-prof)# virtual-service-domain vsd1 <-- vShield が使用する vsd1 に VM ポートプ
ロファイルをマッピング
n1000v(config-port-prof)# exit
107
ビジネス / セキュリティポリシーのテナントへの適用
vShield の背後への仮想マシンの配置
この段階で、 VM を vShield 仮想ファイアウォールの背後に配置できます。図 78 に示すように、
ネットワーク・アダプタ・タブで、対応するネットワークか VLAN を選択できます。 VM を設定
する予定の VLAN は、すでに上記の Nexus 1000V 設定手順で仮想ドメインにマッピングされて
いるため、 vCenter の設定内でこのネットワークをその仮想アダプタに追加するだけで、 VM は
自動的に vShield の保護ゾーンに配置されます。
図 78 は、「HR-Mixed」テナントの VM が「Hr_Bulk_10_120_130」ポートプロファイル・グ
ループに配置されていることを示しています。配置することで、「HR-Mixed」テナントの VM
トラフィックが vShield により可視化され、制御されるようになります。
図 78
「Hr_Bulk_10_120_130」プロファイル / ポートグループに接続された「HR-Mixed」の VM
ポリシーベースの分離
vShield は、複数のテナント間や同一のテナント内にファイアウォール機能を実装できます。ど
ちらの場合も、 vShield ルールは異なる VLAN 間のトラフィックにのみ適用できます。 VM が異
なる物理ホストに存在する場合は、 VLAN 内でも適用できます。この導入ガイドは、以下のシナ
リオで vShield を設定する方法について説明します。
•
テナントの仮想マシンを外部の脅威から保護する — これは、各テナント内のゲストにアクセ
スできる、外部が送信元であるタイプのトラフィックを制限するファイアウォールルールを
定義することで実現できます
•
異なるテナント間のアクセスルールを定義する — それぞれのテナントでのアクセス権を定義
する適切なファイアウォール・ポリシーを定義することで、テナント間のセキュリティを実
現します
•
それぞれのテナント内の重要なアプリケーションを、攻撃や許可されていないアクセスから
隔離する — たとえば、データベースクラスタを使用して重要なデータを保存している
どんなアプリケーションでも、このクラスタを既知のアプリケーション・エンティティに制
限する必要があります。 vShield を使用して必要なポリシーを管理し、テナント内のエン
ティティを分離できます
実装された特定のルールに関係なく、従う必要がある一般的なベストプラクティスがあります。
このベストプラクティスには、たとえば以下のようなものがあります。
108
ビジネス / セキュリティポリシーのテナントへの適用
•
vShield の統合を簡易化するため、デフォルトのアクションでは、すべてのトラフィックに
対して通過を許可します。このデフォルトのアクションは、移行プロセス中の既存トラ
フィックフローの停止を最小化します。デフォルトのアクションは、 vShield のインスペク
ションルールに適合しないすべてのトラフィックをドロップするよう変更する必要があり
ます。この変更は、 [VM walls] の [L4-rules and L2/L3 rules] ウィンドウの下の 2 つのポリ
シーを [DENY] に設定することで実行できます
•
異なるテナント間のトラフィックフローを定義する厳しいセキュリティルールがある場合
は、アグリゲーション層内のルーターでこのポリシーを実装できます。ルーターでの実装
により、 vShield でこのポリシーを実装する必要がなくなります。このようなポリシーに
は、たとえば、アグリゲーション・ルーターでシンプルなアクセスルールを使用すること
で実装できるテナントと、そうでないテナントを厳しく分離するポリシーがあります
•
vShield は、同一の VLAN に存在する VM のトラフィック確認には使用されないため、 ACL
を使用して Nexus 1000V でファイアウォール・ポリシーを実装できます
vShield 内のルールは、クラスタレベルかネットワーク（VLAN）レベルのどちらかで設定でき
ます。レベルは、 vShield Manager の左側のペインで選択できます（従来のファイアウォール
と同様に、従来の IP / サブネットベースのルールとともにデータセンターレベルで設定するこ
ともできます）。クラスタレベルで適用されたルールは全クラスタレベルを保護し、ネットワー
クレベルのルールは個々の VLAN に適用できます。図 79 は、 vShield Manager でのネットワー
クレベルの設定を示しています。
図 79
メモ
vShield Manager でのネットワークレベルの設定
図 79 で「No Vlan (0)」以下にある VM は電源がオフになっています。
109
ビジネス / セキュリティポリシーのテナントへの適用
外部アクセスからの保護
VM を vShield 仮想ファイアウォールの背後に移動させたら、 vShield Manager を使用して
vShield エージェントでファイアウォールルールを作成する必要があります。レイヤ 2 / レイヤ 3
のルールとレイヤ 4 のルールを作成できます。ルールを作成するには、左側のタブでネット
ワーク表示を選択し、 [VM Wall] で L2 / L3 の設定タブを選択します（図 80 参照）。レイヤ 4
ルールは、 VM の TCP / UDP トラフィックを保護するか、 TCP / UDP トラフィックの特定のタ
イプを許可するのに使用します。一方、レイヤ 2 / レイヤ 3 ルールは、 VM に、 ICMP や IPV6 と
いった別の種類のトラフィックを禁止（または許可）するのに使用します。レイヤ 4 ルールで
デフォルトのアクションを [ANY] から [ANY] へのトラフィックを [DROP] するよう設定すると、
すべてのトラフィックはファイアウォールルールで許可されないかぎり、ドロップされます。
このため、追加するルールは [ALLOW] に設定する必要があります。図 80 は、 2 つの VLAN の背
後の VM が外部へのアクセスを許可されている一方、それ以外のすべてのトラフィック（外部
が送信元のトラフィックなど）はブロックされている状態を示しています。
図 80
メモ
レイヤ 4 のファイアウォールルール
このセクションの例では、 vShield が 2 つのホスト（上記のホスト 2 と 5）にインストールされ
ている状態を示しています。 DRS / vMotion を有効にした場合、クラスタのすべてのホストに
vShield エージェントをインストールする必要があります。インストールしないと、 VM を移行
した場合に、 VM が保護されていないホストに配置されることになります。上記の手順は、必要
な数のホストに適用できます。
VLAN 間のトラフィックフロー用ルールの作成
VLAN 間のルールを作成すると、管理者が、異なるテナント間または同一テナント内の異なるエ
ンティティ間のポリシーを作成するときに役立ちます。後者の場合は、分離が必要なアプリ
ケーションを別々の VLAN に配置する必要があることを意味します。これは、同じテナントに
属していても同様です。
110
ビジネス / セキュリティポリシーのテナントへの適用
図 81
VLAN 間のポリシーの作成
上記のとおり、「HR_IO」と「HR_Bulk」ポートプロファイルに存在する 2 つのテナント間のト
ラフィックを許可するルールを作成できます。
同一のテナント内の異なるエンティティを隔離する際も、このエンティティが異なる VLAN に
あるかぎり、同じ方法を使用できます。
ICMP や IPV6 などのトラフィックパターンにルールを適用するのに使用するレイヤ 2 / レイヤ
3 のポリシーは必ず設定するようにしてください。図 82 は、 ICMP が「Hr_Bulk」と「HR_IO」
の両方でブロックされ、 IPv6 が「Other IPV4-DENY」ルールでブロックされることを示してい
ます。
図 82
レイヤ 2 / レイヤ 3 のファイアウォールルールの作成
VLAN 内のポリシーの作成
vShield ルールは、それぞれの VLAN 内の VM には適用されません。それぞれの VLAN 内でア
クセスルールを実装するには、 Nexus 1000V 内のアクセスリスト機能を使用できます。以下の
例では、特定の受信側ポート内のアプリケーション・トラフィックのみを拒否し、それ以外の
トラフィックは許可するようアクセスリストを設定しています。
ip access-list block-udp-1900-dest
statistics per-entry
10 deny udp any 10.120.130.22/32 eq 1900
20 permit ip any any
このアクセスリストを、以下のようにポートプロファイルに適用します。
interface Vethernet37
ip port access-group block-udp-1900-dest in
inherit port-profile MKT_Compute_10_100_20
description Spirent-TS-03, Network Adapter 3
vmware dvport 960
111
ビジネス / セキュリティポリシーのテナントへの適用
アクセスリストが機能しているかどうかを確認するには、以下のように表示コマンドを使用で
きます。
sh access-lists
IP access list block-udp-1900-dest
statistics per-entry
10 deny udp any 10.120.130.22/32 eq 1900 [match=7882]
20 permit ip any any [match=32]
この例では、アクセスリストを使用して、上記の vShield の機能を複製し、特定のポート番号に
ついて 2 つのアプリケーションサーバ間のトラフィックのみを許可しています。
vShield 内の機能の監視
vShield の監視機能には以下のものがあります。
•
リアルタイムのトラフィックの監視 — この監視は、リアルタイムのトラフィックをプロファ
イリングして監視する際に重要です。攻撃を受けた場合、影響を少なくするため、リアルタ
イムのトラフィックのプロファイルとトラフィックの特性を確認できるようにすることが必
要です。 [VM flow] タブの [show report] をクリックすると、以下のようにトラフィックがリ
アルタイム表示されます。悪意のある攻撃のほとんどは、 [UNCATEGORIZED] トラフィッ
クとして表示されます。このような攻撃では、ポート番号がランダムになっており、
[CATEGORIZED] トラフィックには、 [VM flow] タブのポートマッピング表の定義に従って
あらかじめ定義されているポートマッピングが表示されているためです。
図 83
リアルタイムのトラフィック監視
VM チャートには、ポートマッピング設定表であらかじめ定義されているトラフィックがグ
ラフィカルに表示されます（図 84 参照）。
112
ビジネス / セキュリティポリシーのテナントへの適用
図 84
•
VM チャート
VM 検出 — このモードでは、テナント間やテナント内で安定状態で利用できるサービスを監
視します。これは、その VM でどのポートが可視化されており、アクティブになっている
かを確認したい場合に役立ちます。 VM 検出プロセスは、それぞれの vShield エージェント
で VM 検出プロセスを操作し、監視することで開始できます。 VM 検出は、継続的に実行す
ることも、図 85 に示すようにスケジュールを設定することもできます。
113
ビジネス / セキュリティポリシーのテナントへの適用
図 85
VM 検出のスケジュール設定
VM 検出プロセスが完了したら、安定状態のトラフィックとオープン状態のポートを確認で
きます（図 86 参照）。
114
付録 A — コマンドリスト
図 86
VM 検出モード
VM 検出は、管理 VLAN にルーティングできるテナントでのみ機能します。
付録 A — コマンドリスト
このセクションでは、このソリューションを導入するときに役立つと考えられる、その他の設
定情報やコマンドを紹介します。
VMware のコマンドラインでの操作
Microsoft SQL Server 準備用スクリプト
ステップ 1
sysadmin （SA; システム管理者）として、または SA 権限を持つユーザアカウントで Query
Analyzer セッションにログインします。
ステップ 2
以下のスクリプトを実行します。
このスクリプトは、 vCenter Server インストールパッケージ（/< インストール・
ディレクトリ >/vpx/dbschema/）にあります。
ファイル名は、 DB_and_schema_creation_scripts_MSSQL.txt です。
use [master]
go
CREATE DATABASE [VCDB] ON PRIMARY
(NAME = N'vcdb', FILENAME = N'C:\VCDB.mdf', SIZE = 2000KB, FILEGROWTH = 10% )
LOG ON
(NAME = N'vcdb_log', FILENAME = N'C:\VCDB.ldf', SIZE = 1000KB, FILEGROWTH = 10%)
COLLATE SQL_Latin1_General_CP1_CI_AS
go
use VCDB
115
付録 A — コマンドリスト
go
sp_addlogin @loginame=[vpxuser], @passwd=N'vpxuser!0', @defdb='VCDB',
@deflanguage='us_english'
go
ALTER LOGIN [vpxuser] WITH CHECK_POLICY = OFF
go
CREATE USER [vpxuser] for LOGIN [vpxuser]
go
sp_addrolemember @rolename = 'db_owner', @membername = 'vpxuser'
go
use MSDB
go
CREATE USER [vpxuser] for LOGIN [vpxuser]
go
sp_addrolemember @rolename = 'db_owner', @membername = 'vpxuser'
go
NetApp のコマンドラインでの操作
導入ガイド全体を通して、一部の NetApp の手順は GUI ベースのアプリケーションを使用して
示し、そのほかの手順はコマンドラインを利用して示しています。導入ガイド本文でコマンド
ラインを使用して示されているすべてのタスクは、 CLI で実行する必要があります。導入ガイド
執筆時点では、利用できる GUI ベースの方法がないためです。 CLI での操作を望む管理者用に
は、本文で説明している GUI ベースの手順に加えて、以下の NetApp CLI 手順を用意していま
す。
NetApp ストレージ上でのテナント vFiler の作成（コマンドライン経由）
NetApp ストレージコントローラは、 HA クラスタとして設定されているため、 2 つのコント
ローラを使用できます。テナント vFiler は、両方の NetApp ストレージコントローラ間で均等に
分散するようにしてください。この例では、 NetApp1 を使用します。
ステップ 1
以下のように vFiler ルートボリュームを作成します。
NetApp1> vol create Sales_root -s none aggr1 30m
ステップ 2
以下のように VLAN インターフェイスを作成します。
NetApp1> vlan create vif0 100
NetApp1> vlan add vif0 101
ステップ 3
以下のように IPspace を作成します。
NetApp1> ipspace create Sales vif0-100, vif0-101
ステップ 4
以下のように vFiler を作成します。
NetApp1> vFiler create Sales -s Sales -i 192.168.100.254 -i 192.168.101.254 /vol/Sales_root
Setting up vFiler Sales
Configure vFiler IP address 192.168.100.254?[y]: （Enter キーを押します）
Interface to assign this address to {vif0-100 vif0-101}: vif0-100
Netmask to use: [255.255.255.0]: （Enter キーを押します）
Configure vFiler IP address 192.168.101.254?[y]: （Enter キーを押します）
Interface to assign this address to {vif0-101}: vif0-101
Netmask to use: [255.255.255.0]: （Enter キーを押します）
Please enter the name or IP address of the administration host: （Enter キーを押します）
Do you want to run DNS resolver?[n]: （Enter キーを押します）
Do you want to run NIS client?[n]: （Enter キーを押します）
Default password for root on vFiler Sales is "".
New password: （この vFiler の新しいパスワードを入力します）
Retype new password: （パスワードを再入力します）
116
付録 A — コマンドリスト
ステップ 5
ホームコントローラ（NetApp1）で以下の操作を実行し、リブートしても vFiler 設定が一貫性
を維持するようにします（これは、コマンドラインを使用する場合にのみ必要です。
Provisioning Manager は、自動的に起動スクリプトを更新します）。
NetApp1>
NetApp1>
NetApp1>
NetApp1>
NetApp1>
NetApp1>
ステップ 6
wrfile
wrfile
wrfile
wrfile
wrfile
wrfile
-a
-a
-a
-a
-a
-a
/etc/rc
/etc/rc
/etc/rc
/etc/rc
/etc/rc
/etc/rc
"vlan create vif0 100"
"ifconfig vif0-100 partner vif0-100"
"ifconfig vif0-100 192.168.100.254 netmask 255.255.255.0"
“vlan add vif0 101”
"ifconfig vif0-101 partner vif0-101"
"ifconfig vif0-101 192.168.101.254 netmask 255.255.255.0"
パートナーのコントローラで、以下のコマンドを実行します。
NetApp1>
NetApp1>
NetApp1>
NetApp1>
wrfile
wrfile
wrfile
wrfile
-a
-a
-a
-a
/etc/rc "vlan create vif0 100"
/etc/rc "ifconfig vif0-100 partner vif0-100"
/etc/rc “vlan add vif0 101"
/etc/rc "ifconfig vif0-101 partner vif0-101"
これで vFiler がオンラインになり、ストレージリソースを vFiler に割り当てる準備ができまし
た。
テナント仮想ストレージコントローラへのストレージ・プロビジョニング（コマンドラ
イン使用）
VM と NetApp vFiler の準備が完了したら、テナントで使用できるようストレージリソースを
vFiler にプロビジョニングできるようになります。まず、アプリケーションデータを格納する
ボリュームを作成し、これを NFS、 CIFS、 iSCSI のいずれかを使用してエクスポートします。
以下は、プロビジョニングに必要な手順です。
ステップ 1
データ・ストレージ・ボリュームを作成します。
ストレージを vFiler に提供するには、アプリケーションに適切なサイズのボリュームを作成し、
このボリュームをテナント vFiler に割り当てます。
NetApp1> vol create Sales_app1 -s none aggr1 300g
NetApp1> vFiler add Sales /vol/Sales_app1
ステップ 2
テナント vFiler にログインし、利用できるボリュームを表示して、ボリュームが正常に導入さ
れたことを確認します。
NetApp1> vFiler context Sales
Console context was switched to a vFiler unit Sales.
Sales@NetApp1> vol status
Volume State
Status
Options
Sales_root
raid_dp, flex
guarantee=none
Sales_app1
raid_dp, flex
guarantee=none
上記前提条件のセクションで決定したプロトコルに応じて、以下の手順を 1 つ以上実行し、テ
ナントのアプリケーション・ボリューム（Sales_app1）を NFS、 CIFS、 iSCSI のいずれかの
プロトコル経由でエクスポートします。以下の手順では、ストレージを NFS / CIFS プロトコル
でエクスポートして、 LUN を iSCSI 経由で提供するプロセスを説明します、
CIFS と NFS 経由のストレージのエクスポート
CIFS 経由でエクスポートを実行すると、 Microsoft Windows クライアントからボリュームの全
体または一部にアクセスできるようになります。 CIFS 環境を導入するには、通常、 Active
Directory や NIS などの認証システムを事前に設定しておく必要があります。これは、 vFiler 内
で cifs setup コマンドによって設定します。 CIFS の導入は、既存の認証インフラに緊密に統合
117
付録 A — コマンドリスト
されているため、このセクションでは、利用できるオプションをすべて説明することはできま
せん。 CIFS 管理の詳細については、『ファイルアクセスおよびプロトコル管理ガイド』
（http://now.netapp.com/NOW/knowledge/docs/ontap/rel732/）を参照してください。
NFS は、ボリュームを Linux、 UNIX、 Apple Mac OS X などのプラットフォームで利用できるよ
うにするのに有効な方法です。 CIFS 管理と同様に、 NFS 管理の詳細についても、『ファイルア
クセスおよびプロトコル管理ガイド』
（http://now.netapp.com/NOW/knowledge/docs/ontap/rel732/）を参照してください。以下の例
では、 NFS をエクスポートするだけで、 /vol/Sales_app1 へのルートレベルの読み取り / 書き込
みアクセスが VLAN 101 経由で IP アドレス 192.168.101.5 のテナント VM に提供されます。
Sales@NetApp1> exportfs
/vol/Sales_root -sec=sys,rw,anon=0
/vol/Sales_app1 -sec=sys,rw
Sales@NetApp1> exportfs -p rw=192.168.101.11,root=192.168.101.11 /vol/Sales_app1
Sales@NetApp1> exportfs
/vol/Sales_root -sec=sys,rw,anon=0
/vol/Sales_app1 -sec=sys,rw=192.168.101.11,root=192.168.101.11
これで、クライアントは NFS のパス「192.168.101.254:/vol/Sales_app1」をマウントできるよ
うになります。
iSCSI LUN の提供
vFiler を使用して、テナント VM に IP SAN を提供し、クラウド環境内でブロック指向のスト
レージを実現できます。 iSCSI LUN を設定するには、まず iSCSI ソフトウェア・イニシエータ
を環境内の 1 つ以上のテナント VM にインストールします。この手順はプラットフォームによ
り異なります。たとえば、 Microsoft Windows 環境では通常、 Microsoft iSCSI ソフトウェア・イ
ニシエータを導入しますが、 Linux ベースのホストでは通常、オープン iSCSI パッケージ（多く
の場合、 Linux 提供ベンダーから入手可能）を使用します。 iSCSI 設定の詳細については、オペ
レーティング・システムのドキュメント、 iSCSI と FC の『ブロックアクセス管理ガイド』
（http://now.netapp.com/NOW/knowledge/docs/ontap/rel732/）、特定のアプリケーションについ
ては、導入しようとしているそれぞれのソフトウェアスイートについて説明している NetApp テ
クニカルレポートを参照してください。
ソフトウェア・イニシエータ・ソフトウェアを導入したら、関連するそれぞれのホストで iSCSI
Qualified Name （IQN）を記録しておいてください。この例では、 30 GB の LUN が IQN
「iqn.2005-01.com.example:sales-5」のホスト 192.168.101.5 に提供されます。
ステップ 1
vFiler で、ホスト用のイニシエータグループを作成します。
コマンドの構文： igroup create { -f | -i } -t <OS タイプ > [ -a < ポートセット > ] < イニシエータ
グループ > [ < ノード > ... ]
Sales@NetApp1> igroup create -i -t linux Sales_5 iqn.2005-01.com.example:sales-5
ステップ 2
ホスト用の LUN ストレージを作成します。
コマンドの構文： lun create -s < サイズ > -t <OS タイプ > [ -o noreserve ] [ -e space_alloc ]
<LUN のパス >
Sales@NetApp1> lun create -s 300g -t linux -o noreserve /vol/Sales_app1/Sales5_lun
ステップ 3
指定のホスト用のイニシエータグループを、新しく作成した LUN にマッピングします。
コマンドの構文例： lun map [ -f ] <LUN のパス > < イニシエータグループ > [ <LUN ID> ]
Sales@NetApp1> lun map /vol/Sales_app1/Sales5_lun Sales_5
Tue Jan 19 18:16:30 GMT [Sales@NetApp1: lun.map:info]: LUN /vol/Sales_app1/Sales5_lun was
mapped to initiator group Sales_5=
118
付録 B — 参考資料
付録 B — 参考資料
VMware vSphere と vCenter ： http://www.vmware.com/products/
VMware vShield ： http://www.vmware.com/products/vshield-zones/
Cisco Unified Computing System ：
http://www.cisco.com/en/US/partner/netsol/ns944/index.html
Cisco Nexus 7000 ： http://www.cisco.com/en/US/products/ps9402/index.html
Cisco Nexus 5000 ： http://www.cisco.com/en/US/products/ps9670/index.html
Cisco Nexus 1000V ： http://www.cisco.com/en/US/products/ps9902/index.html
Cisco MDS ： http://www.cisco.com/en/US/products/hw/ps4159/index.html
Cisco DCNM ：
http://www.cisco.com/en/US/docs/switches/datacenter/sw/4_1/dcnm/fundamentals/configuratio
n/guide/fund_overview.html
NetApp ONTAP ： http://www.netapp.com/us/products/platform-os/data-ontap/
NetApp Snapshot ： http://www.netapp.com/us/products/platform-os/snapshot.html
NetApp FlexShare ： http://www.netapp.com/us/products/platform-os/flexshare.html
NetApp FAS プラットフォーム： http://www.netapp.com/us/products
NetApp MultiStore ： http://www.netapp.com/us/products/platform-os/multistore.html
NetApp イーサネットストレージ：
http://www.netapp.com/us/company/leadership/ethernet-storage/NetApp Ethernet Storage
付録 C — 構成品と検証済みソフトウェアバージョンの一
覧表
この付録は、セキュア・マルチテナンシー・ソリューションを構築するのに必要なすべての機
器とソフトウェアのリストです。
メモ
表 13
本導入ガイドでは、この付録に示すソフトウェアバージョンに固有の指示とセットアップ手順
に従っています。全般的な導入シナリオとして、それぞれの製品で利用できる最新のソフト
ウェアリリースの導入を検討されることを推奨します。一般的に、最新のソフトウェアリリー
スにより、既知の問題点が少なくなります。ただし、公開されている手順や設定ガイドライン
が必ずしも最新のソフトウェアリリースに直接適用できるとはかぎりません。
構成品と検証済みソフトウェアバージョンの一覧表
パーツ番号
説明
UCS ソリューション： UCS-B ベースライン
SW バー
ジョン
数量
1.0 （1e）
1
UCS 6120XP
ファブリック・インターコネクト
2
UCS 5108
ブレードサーバ
2
UCS 2104XP
ファブリック・エクステンダ
4
UCS B200-M1
ブレードサーバ：デュアル 2.93 GHz CPU、 24 GB RAM
（DDR3 1333 MHz）、 73 GB HDD × 2
8
UCS CNA M71KR-Q
QLogic CNA アダプタ
8
Nexus 7010 （10 スロット、スーパーバイザー・モジュール -1X）
4.2 （2a）
2
119
付録 C — 構成品と検証済みソフトウェアバージョンの一覧表
表 13
構成品と検証済みソフトウェアバージョンの一覧表
N7K-C7010-BUN
Nexus 7010 バンドル（シャーシ、 SUP1、 [3]FAB1、
[2]AC-6KW PSU）
2
N7K-SUP1
N7K- スーパーバイザー 1 （外部 8 GB ログフラッシュを含む）
2
N7K-M132XP-12
N7K-32 ポート、 10 GbE、 80 G ファブリック（ SFP+ が必要）
2
SFP-10G-SR
10GBASE-SR SFP モジュール
32
N7K-ADV1K9
N7K Advanced LAN Enterprise ライセンス
2
DCNM-N7K-K9
DCNM ライセンス
1
N7K-M148GT-11
Nexus 7000-48 ポート 10/100/1000、 RJ-45
2
CON-SNT-N748G
SMARTNET 8x5xNBD
2
CON-SNT-C701BN
SMARTNET 8x5xNBD、 Nexus 7010 バンドル
（シャーシ、 SUP1、 [3]FAB1、 [2]AC-6KW PSU）
2
4.1 （3）
N1 （1a）
Nexus 5020
2
N5K-C5020P-BF
N5000 2RU シャーシ（電源なし、 5 ファンモジュール、 40
ポート）（SFP+ が必要）
2
N5K-M1600
N5000 1000 シリーズモジュール 6 ポート 10 GE
（SFP+ が必要）
4
N5K-PAC-1200W
Nexus 5020 PSU モジュール、 A / C、 200 V / 240 V、 1200 W
4
SFP-10G-SR
10GBASE-SR SFP モジュール
8
N5020-SSK9
Nexus 5020 Storage Protocols Services ライセンス
2
N5000FMS1K9
Nexus 5000 Fabric Manager / Device Manager コンポーネン
ト・ライセンス
1
CON-SNTP-N5010
SMARTNET 24X7X4 サービス N5000 1 RU シャーシ
2
CON-SNTP-N51SK
SMARTNET 24X7X4 サービス Nexus 5010 Storage Protocol
Services ライセンス
2
CON-SNTP-N5FMS
SMARTNET 24X7X4 サービス Nexus 5000 Fabric Manager /
Device Manager
2
MDS 9124
4.1 （3a）
2
DS-C9124AP-K9
Cisco MDS 9124 4 G ファイバチャネル 24 ポートスイッチ
2
DS-C24-300AC=
MDS 9124 パワーサプライ
4
DS-C34-FAN=
MDS 9134 用ファンアセンブリ
4
DS-SFP-FC4G-SW=
4 Gbps ファイバチャネル SW SFP、 LC、スペア
48
CON-SNT-24EV
SMARTNET MDS9124 8x5xNBD
2
4.0 （4）
SV1 （2)
Nexus 1000V
L-N1K-VLCPU-01=
Nexus 1000V eDelivery CPU ライセンスパック：数量 1
8
8
NetApp ストレージハードウェア
1
FAS6080AS-IB-SYS-R5
FAS6080A、アクティブ / アクティブ、 SAN、 SupportEdge
INC
2
X1938A-PBNDL-R5
ADPT、 PAM II、 PCIe、 512 GB、 SupportEdge INC
（オプション）
2
X1941A-R6-C
クラスタケーブル 4X、カッパー、 5 m
2
X54015A-ESH4-PBNDL-
R5
ディスクシェルフ、 450 GB、 15 K、 ESH4、 SupportEdge INC
8
120
付録 C — 構成品と検証済みソフトウェアバージョンの一覧表
表 13
構成品と検証済みソフトウェアバージョンの一覧表
X6521-R6-C
ループバック、光、 LC
4
X6530-R6-C
ケーブル、パッチ、 FC SFP から SFP、 0.5 m
12
X6539-R6-C
SFP、光、 4.25 Gb
8
X6553-R6-C
光ケーブル、 50 u、 2 GHz / KM、 MM、 LC / LC、 2 m
12
X1107A-R6
2 pt、 10 GbE NIC、 BareCage SFP+ スタイル、 PCIe
4
X-SFP-H10GB-CU5M-R6
Cisco N50XX 10 GBase カッパー SFP+ ケーブル、 5 m
4
X6536-R6
光ケーブル、 50 u、 2000 MHz / Km / MM、 LC / LC、 5 m
8
X6539-R6
光 SFP、 4.25 Gb
8
CS-O-4HR
SupportEdge Premium、 24 時間サポート、 4 時間のオンサイ
トサポート（36 カ月）
1
NetApp ストレージソフトウェア
Data
ONTAP
7.3.2
SW-T7C-ASIS-C
A-SIS 重複排除ソフトウェア
2
SW-T7C-CIFS-C
CIFS ソフトウェア
2
SW-T7C-NFS-C
NFS ソフトウェア
2
SW-T7C-FLEXCLN-C
FlexClone ソフトウェア
2
SW-T7C-MSTORE-C
MultiStore ソフトウェア
2
SW-T7C-NEARSTORE-C
NearStore ソフトウェア
2
SW-T7C-PAMII-C
FlashCache / PAM II ソフトウェア（PAM を購入する場合のみ
必要）
2
SW-T7C-SMSVS-C
SnapMirror / SnapVault ソフトウェアバンドル
2
SW-T7C-SMVI-VMWAREC
SnapManager for VI ソフトウェア
SW-T7C-SRESTORE-C
SnapRestore ソフトウェア
SW-T7C-DFM-OPSMGR
Operations Manager
3.8
2
SW-T7C-DFM-PROTMGR
Protection Manager
3.8
2
SW-T7C-DFM-PROVMGR
Provisioning Manager
3.8
2
SW-SSP-T7C-OPSMGR
SW サブスクリプション、 Operations Manager–25 カ月間
2
SW-SSP-T7C-PROTMGR
SW サブスクリプション、 Protection Manager–25 カ月間
2
SW-SSP-T7C-PROVMGR
SW サブスクリプション、 Provisioning Manager–25 カ月間
2
SANscreen
2.0
2
2
5.1
?
vSphere
4.0
2
仮想化ソフトウェア
VS4-ENT-PL-C
VMware vSphere 4 Enterprise Plus
VCS-STD-C
VMware vCenter Server Standard
1
VCHB-VCMS55-C
VMware vCenter Server Heartbeat
1
Virtualization SnS （最低 1 年の SnS がすべての仮想化ソフトウェアに必要）
VS4-ENT-PL-P-SSS-C
VMware vSphere 4 SnS
1
VCS-STD-P-SSS-C
VMware vCenter Sns
1
VCHB-VCMS-P-SSS-C
VMware vCenter Server Heartbeat SnS
1
121
付録 C — 構成品と検証済みソフトウェアバージョンの一覧表
122

Download Report

��z�f�[�^�Z��^�[�ւ̃Z�L��A�E�}��`�e�i��V�[�̓��

Paperzz.com

Your Paperzz

���z�f�[�^�Z���^�[�ւ̃Z�L���A�E�}���`�e�i���V�[�̓���

Paperzz.com

Your Paperzz

��z�f�[�^�Z��^�[�ւ̃Z�L��A�E�}��`�e�i��V�[�̓��