IBM Cloud Docs
VMware クラウド・ディレクター

VMware クラウド・ディレクター

VMware Cloud Directorテナントポータルの概要

VMware Cloud Director™ テナントポータルは、組織の管理、および vApps 内の仮想マシン (VM)、 vApps,、ネットワークの作成と構成に使用されます。

また、 VMware Cloud Director 環境内で、 VMware NSX® for vSphere® が提供する高度なネットワーキング機能を構成することもできます。 テナントポータルでは、カタログ、 vApps,、仮想データセンター(VDC)テンプレートの作成と管理も可能です。

ロール、許可、ユーザー

VMware Cloud Director にアクセスするには、デフォルトの認証および許可メカニズムとして、 IBM Cloud 資格情報を使用したシングル・サインオンを使用します。 各役割に関連付けられている IBM Cloud Identity and Access Management (IAM) Director テナント・ポータルの役割と許可のリストについては、 Managing IAM access for サービスとしての VCF を参照してください。 組織管理者は、 IBM Cloud IBM Cloud ではなく、テナント・ポータルによって認証されるローカル・ユーザーを作成できます。また、ローカル・ユーザーに対して割り当てることができる追加のカスタマイズされた役割を作成することもできます。

ロールと権限の詳細については、 VMware Cloud Director テナントポータルのロールと権限を参照してください。

E メールの設定の変更

組織管理者は、組織の SMTP サーバーへの E メール通知設定を変更する必要があります。

SMTPサーバーの設定変更の詳細については VMware で電子メール設定を変更する 」を参照してください。

カタログ

カタログとは、組織内の vApp テンプレートおよびメディア・ファイルのコンテナーです。 組織管理者およびカタログ作成者は組織内でカタログを作成できます。 カタログの内容は、 VMware Cloud Foundation (VCF) as a Service インストール内の他のユーザーまたは組織と共有できます。 あるいは、 サービスとしての VCF のインストール外の組織がアクセスできるように、外部に公開することもできる。

サービスとしての VCF には、プライベート・カタログ、共有カタログ、外部アクセス可能なカタログが含まれる。 プライベート・カタログには、組織の他のユーザーと共有できる vApp テンプレートおよびメディア・ファイルが含まれます。 システム管理者が組織のカタログ共有を有効にしている場合、組織カタログを共有して、 サービスとしての VCF インストール内の他の組織からアクセス可能なカタログを作成できます。

システム管理者が組織の外部カタログ公開を有効にしている場合、 サービスとしての VCF インストール外の組織がアクセスできるように組織カタログを公開できます。 サービスとしての VCF のインストール外の組織がそのコンテンツにアクセスするには、外部で公開されているカタログを購読する必要があります。

各組織は、 サービスとしての VCF パブリック・カタログにアクセスできます。 カタログには、構成および保護され、使用可能な状態の IBM 準拠イメージが含まれています。

サービスとしての VCF パブリック・カタログ

各組織は、 サービスとしての VCF パブリック・カタログにアクセスできます。 カタログには、構成および保護され、使用可能な状態の IBM 準拠イメージが含まれています。

サービスとしての VCFに関する以下の考慮事項を確認してください。

パブリック・カタログには、以下のコンポーネントのための vApp テンプレートが含まれています。

vApp テンプレート
画像 バージョン
CentOS 7.x
Microsoft® Windows® 2022 標準
Microsoft Windows 2019 Standard
Microsoft Windows 2016 Standard
Red Hat Enterprise Linux® 9.3
Red Hat Enterprise Linux 8.1
Red Hat Enterprise Linux 7.7
ロッキーLinux 9.4
ロッキーLinux 8.1

CentOSとRockyのテンプレート

公開カタログで提供されるテンプレートには、次のような特徴がある:

  • 最新のアップデートがインストール済み
  • VMware® ブロードコムツールのインストール
  • YUM リポジトリーが有効で、IBM プライベート・ネットワーク YUM リポジトリーを指定して構成済み
  • IBM プライベート・ネットワーク NTP サーバーを指定して NTP サーバーを構成済み

Microsoft Windows テンプレート

パブリック・カタログで提供される Microsoft Windows テンプレートには、以下の特性があります。

  • 最新のアップデートがインストール済み
  • Windows アップデートが有効で、IBM プライベート・ネットワーク Windows 更新サーバーを指定して構成済み
  • VMware ブロードコムツールのインストール
  • Windows リモート・デスクトップが無効
  • ファイアウォールが有効
  • Windows Defender が有効
  • IBM プライベート・ネットワーク NTP サーバーを指定して NTP サーバーを構成済み
  • インターネット Microsoft Key Management Server (KMS) ではなく IBM サービス・ネットワーク Microsoft KMS を使用して更新をアクティブ化および受信するように Windows ライセンスを構成済み

Red Hat Enterprise Linux テンプレート

公開カタログで提供されている Red Hat Enterprise Linux (RHEL)テンプレートには、次のような特徴があります:

  • 最新のアップデートがインストール済み
  • VMware ブロードコムツールのインストール
  • ファイアウォールが有効
  • IBM プライベート・ネットワーク・サーバーを指定して NTP サーバーを構成済み

テナント・ポータルで VM をデプロイした後に IBM RHEL Capsule Server で RHEL アクティベーション・キーを使用して Red Hat VM を登録します。 RHEL アクティベーション・キーを使用して Red Hat VM を登録するために、VM から IBM サービス・ネットワークに接続できるようにする必要があります。 詳しくは、プライベート・ネットワークを使用して IBM Cloud サービスへの VM アクセスを可能にするを参照してください。

RHEL アクティベーション・キーを使用して Red Hat VM を登録するには、以下の手順を実行します。

  1. VMware Solutions コンソールで、左のナビゲーション・パネルから Resources > サービスとしての VCF をクリックする。
  2. 仮想データセンター] タブで、 Cloud Director インスタンス名を探してクリックします。
  3. 「要約」 タブの 「サイトの詳細」 パネルで Red Hat アクティベーション・キー を見つけ、 「クリップボードにコピー」 アイコンをクリックします。
  4. Red Hat VM から以下のコマンドを実行します。
    1. uuid=$(uuidgen)
    2. echo {\"dmi.system.uuid\": \"$uuid\"} > /etc/rhsm/facts/uuid_override.facts
    3. cat /etc/rhsm/facts/uuid_override.facts uuid_override.facts の内容に、生成された UUID が含まれていることを確認してください。
    4. subscription-manager register --org="customer" --activationkey="ACTIVATION_KEY" --force ここで、 ACTIVATION_KEY は、クリップボードにコピーした Red Hat アクティベーション・キーです。

IBM 以外で既に RHEL サブスクリプションを利用している場合は、別の RHEL Capsule Server やサテライト・サーバーを使用することもできます。 RHELライセンスの料金は、VDCで稼働しているRHEL VMに対して発生します。

カタログとポリシーの定義

カタログを作成するには、組織管理者またはカタログ作成者のいずれかのテナント・ポータル役割が必要です。

カタログおよびポリシーの定義の詳細については VMwareでのカタログの操作 」を参照してください。

メディアまたはテンプレートのアップロード

OVF パッケージを vApp テンプレートとしてカタログにアップロードしてユーザーにそのテンプレートを提供することができます。 詳細については VMwareでの OVF パッケージからの vApp の作成 」を参照してください。

ISO ディスク・イメージや FLP ディスケット・ドライブ・イメージなどのメディア・ファイルは、メディア・ファイルとしてカタログにアップロードできます。 詳細については VMwareでのメディアファイルの操作 」を参照してください。

最大インポート・サイズは 750 GB です。 大きな画像ファイルやテンプレートはアップロードに時間がかかる場合があります。 750 GB を超えるファイルについて支援が必要な場合は、 ヘルプおよびサポートの利用 の手順に従って、 IBM サポート・チケットをオープンしてください。

仮想マシン

テナント・ポータルを使用するときには、テンプレートから VM を作成したり VM をプロビジョンしたりすることができます。

詳細については VMwareでのスタンドアロン仮想マシンの作成 」を参照してください。

仮想マシン・プロパティーのカスタマイズ

VM のプロパティー (VM 名と説明、ハードウェアとネットワークの設定、ゲストのオペレーティング・システムの設定など) は編集できます。

VM での作業の詳細については VMwareでの仮想マシンでの作業」 を参照してください。

テナントポータル(ゲストOSのカスタマイズ)を使用してWindows管理者パスワードを変更する場合は、Windowsの複雑性要件に従ってください。 これを行わずにテナント・ポータルのパスワードを変更すると、パスワードを Windows VM テンプレートで使用できなくなります。

仮想マシンの全般プロパティーの変更

VM の名前、説明、ストレージ・ポリシー、その他の全般プロパティーを変更できます。

ストレージのプロパティーの切り替え

VM がパワーオンになっているときには変更できないディスク設定もあります。 例えば、VM がパワーオンになっているときにディスク・サイズを増やすことはできますが、VM をパワーオフにしないとディスク・サイズを減らすことはできません。 ディスク設定を変更する前に VM をパワーオフにしなければならない場合は、メッセージが表示されます。 詳細については VMwareでの仮想マシンの電源オフ 」を参照してください。

ストレージ・ポリシーの変更について詳しくは、 仮想マシンの一般属性の変更を参照してください。

ストレージ・ポリシーを変更する前に VM をパワーオフにしなければならない場合は、VM を新しいストレージ・ポリシーに移行した後で再び VM をパワーオンにしてください。 詳細については、 VMware内の仮想マシンの電源をオンにするを参照してください。

NFS ストレージポリシーを使用する場合、ディスクのサイズは 15.8 TBを超えることはできません。 15.8 TBを超えるディスクを NFS ストレージポリシーに移動しようとすると、変換に失敗します。

仮想マシンのハードウェア・プロパティーの変更

VM のハードウェア・プロパティー、vCPU の数、メモリー、ハード・ディスク割り振り、ネットワーク構成を変更できます。

仮想マシンのゲスト OS カスタマイズ・プロパティーの変更

ゲスト OS のカスタマイズは、すべてのプラットフォームでオプションです。 パワーオン時に Windows ドメインに参加する必要がある VM の場合は、これは必須です。

IBM テンプレートを使用して VM を作成する場合は、 ゲスト OS カスタマイズパネルを使用して OS インスタンス用の固有のパスワードを取得または設定します。 **「ゲスト・カスタマイズを有効にする (Enable guest customization)」オプションが選択されていることを確認し、「パスワードのリセット (Password Reset)」**オプションのいずれかを使用して、初期管理者資格情報を設定します。

詳細については 、「仮想マシンのゲスト OS カスタマイズの変更 」を参照してください。

仮想マシンの詳細プロパティーの変更

「詳細設定」で、リソース割り振りの設定 (共有、予約、上限) を構成して、VM に提供される仮想の CPU (vCPU) リソース、メモリー・リソース、ストレージ・リソースの量を決定できます。

詳細については 、「仮想マシンのゲストプロパティの編集 」を参照してください。

IBM テンプレートの使用

パブリック・カタログで提供されている IBM テンプレートから VM をデプロイした場合は、パスワード要件が適用されます。 最初に VM にログインする際に、電源オン時に生成された初期パスワードが必要です。 このパスワードは VM の詳細ページで確認できます。

テナント・ポータルの**「パスワードのリセット」**フィールドを使用して Windows 管理者パスワードを変更する場合は、Windows の複雑さの要件に準拠していることを確認してください。 これを行わずにテナント・ポータルのパスワードを変更すると、パスワードを Windows VM テンプレートで使用できなくなります。

  1. ゲストOSカスタマイズパネルで、 EDITをクリックします。
  2. Edit Guest Properties(ゲストプロパティの編集 )パネルで、 Specify password(パスワードの指定 )フィールドにパスワードを入力します。
  3. 初期パスワードでログインに成功したら、 Edit Guest Properties パネルに戻ってパスワードをリセットし、新しいパスワードで再度ログインします。

vApps

vApp は、ネットワークを介して通信し、VDC内のリソースとサービスを使用する1つ以上のVMで構成される。 vApp を作成してから VM およびネットワークを追加します。

vApp に VM とネットワークを追加できます。

vApps, の詳細については VMwareでの vAppsの操作 」を参照してください。

ネットワーキング

VDC 内に VDC ネットワークを作成する方法、VDC ネットワークに接続するための VM を作成する方法、およびエッジ・ゲートウェイで NAT ルールとファイアウォール・ルールを構成する方法について詳しくは、 VMware Cloud Director コンソールを使用した VMware Cloud Foundation as a Service での仮想データ・センターの構成 を参照してください。

プライベート・ネットワークを使用して IBM Cloud サービスへの VM アクセスを可能にする

IBM Cloud プライベート・ネットワークを使用して IBM Cloud サービスにアクセスするように、VDC 内で稼働している vApps および VM を構成できます。 プライベート・ネットワークを介して IBM Cloud サービスにアクセスすると、アウトバウンド・パブリック・ネットワーキングのコストを節約でき、信頼性とセキュリティーのレベルを高めることができます。 VDCは、VDCエッジで利用可能な外部ネットワークとして構成されたVDCサービスネットワークを介して、 IBM Cloud プライベートネットワークに接続します。

以下のサービスをご利用いただけます。

使用可能なサービス
サービス IP アドレス (エンドポイント)
Microsoft Windows Update Server 161.26.4.21
Microsoft Key Management Server 161.26.96.8, 161.26.96.9
Red Hat Capsule Server 161.26.96.25
DNS 161.26.0.10 (rs1.adn.networklayer.com) および 161.26.0.11 (rs2.adn.networklayer.com)
Ubuntu および Debian の APT ミラー 161.26.0.6 (mirrors.adn.networklayer.com)
RHEL および CentOS の YUM リポジトリー 161.26.0.6 (mirrors.adn.networklayer.com)
NTP 161.26.0.6 (time.adn.networklayer.com)
IBM Cloud Object Storage s3.direct.xxx.cloud-object-storage.appdomain.cloud

サービス・ネットワークへのアクセスを可能にするには、VDCにエッジ(パブリック・プライベートまたはプライベート専用)が必要です。 プライベートネットワーク接続用のNATおよびファイアウォールルールは、VDC作成時にデフォルトで設定されます。 ファイアウォールのルールで、VMが稼働する VMware Cloud Directorネットワークからサービス先へのトラフィックを許可するようにしてください。 ファイアウォールのルールを確認し、必要に応じて、Windowsのアクティベーションやプライベートネットワーク接続を必要とするその他の操作のためのルールを追加します。 詳細については 、「 VMware Cloud Director Tenant Portal」の「NSX Edge Gateway ファイアウォールルールの追加」 を参照してください。

VMware Cloud Directorのネットワークアクセスを許可するための、以下のファイアウォールルールの例を考慮してください。

  • Windows OS のアクティベーションおよびアップデートには 161.26.0.0/16 、 Redhat/CentOS/Ubuntu/Debian OS のアクティベーションおよびアップデートには IBM、 IBM Classic NTP をご利用ください。
  • IBM Cloud Object Storage のIP範囲を使用して、 Cloud Object Storage の直接エンドポイントへのアクセスを許可するファイアウォールルールを作成します。

サービスとしての VCF用のvAppネットワークを作成する

まだ完了していない場合は、以下の手順を実行する前に、少なくとも2つのVMを含むvAppを作成してください。 詳細については VMwareでの vAppsの操作 」を参照してください。

  1. テナントポータルで、左のナビゲーションパネルから「 データセンター 」をクリックします。
  2. 仮想データセンターの詳細ページで、 vApp ネットワークを作成する VDC をクリックします。
  3. 左のナビゲーション・パネルの Compute セクションで vApps.
  4. vApp ネットワークを追加する先の vApp をクリックします。
  5. Networks] タブをクリックし、 [ vApp Fencing] セクションで[ NEW]をクリックする。
  6. Add Network to パネルで OrgVDCNetwork を選択し、ネットワーク名を選択します。
  7. 追加 をクリックします。

詳細については VMwareでの vAppでのネットワークの操作 」を参照してください。

パブリックIPアドレスの追加要求

IBM、パブリックプライベートネットワーキングを使用するVDCのパブリックIPアドレスの追加を要求するためのサポートチケットを開くことができます。 各チケットには、4つのNAT/フローティングIPまたはパブリックIPプレフィックスのいずれかのリクエストを含めることができます。 IPプレフィックス要求には、単一の /30 (連続する2つのアドレス)または /29 (連続する6つのアドレス)を含めることができる。

  • 最初の8つのパブリックアドレスと同様のNAT/フローティングアドレスを使用する。 パブリックネットワークからCloud DirectorのプライベートネットワークにNATするアドレスを設定する必要があります。
  • IPプレフィックスアドレスを使用して、Cloud Director VMをNATなしでパブリックネットワークに直接接続します。 エッジ・ファイアウォールは、公衆の出入りを制御するために使用される。

IBM サポートチケットに以下の詳細をご記入ください:

  • IPアドレスの種類:NAT/フローティングIPまたはIPプレフィックス
  • に対してIPアドレスを追加するエッジを含むVDC ID
  • 追加IPアドレスを追加するVDC内のエッジゲートウェイまたはプロバイダーゲートウェイの名前

NATルールおよびVPN用のパブリックIPアドレスの割り当て

パブリックエッジを持つすべての「サービスとしての VCFVDCには、8つのパブリックIPアドレスが提供される。 エッジNATルールまたは仮想プライベートネットワーク(VPN)ルールで使用する8つのアドレスを有効にするには、まずパブリックアドレスを割り当てる必要があります。

これらの手順は 、[手動IP予約の管理] 権限を持つユーザーとして完了する必要があります。 IBMデフォルトのロール ManagerAdministratorDirector Network Admin、および Director Security Admin はすべて、この権限を持っています。

  1. テナントポータルで、左のナビゲーションパネルから 「Networking 」をクリックします。

  2. 右パネルの上部で、IP Spaces を選択する。

  3. VDCのエッジに関連付けられているIPスペース名をクリックします。 パブリック・エッジを持つ複数のVDCがある場合、IPスペース名の最初の3文字がVDCが作成されたデータ・センターと一致すれば、どのIPスペース名がエッジに関連付けられているかを特定できます。 例えば、t04 は tokyo04と一致する。

    必要に応じて、名前に V00 の値を使うこともできる。 エッジゲートウェイの詳細ページの[ 構成 ]で[ 全般]をクリックします。 プロバイダー・ゲートウェイ名には VRF000 の値があります。 例えば vfr015 のように、その値の番号を使用してください。 この例では、t04-xxx-V15-xxx というパターンを使って、正しいIPスペース・エントリーを見つける。

  4. IPスペースの詳細ページの Allocation セクションで、 Floating IPsを選択します。

  5. テーブルの上部にある「 REQUEST 」をクリックする。

  6. 各VDCには8つのパブリックIPアドレスが割り当てられる。 リクエストダイアログは、リクエスト操作ごとに最大5つのIPをサポートする。 8個すべてのIPアドレスを確実に割り当てるには、まず5個のIPをリクエストし、残りの3個のIPのリクエストを繰り返す。

IPプレフィックスアドレス用のCloud Directorネットワークの作成

IPプレフィックスアドレスでは、VMにパブリックIPプレフィックスアドレスが直接割り当てられ、パブリックアクセスにNATを使用しない。

  1. パブリックIPアドレスを割り当てる。

    1. テナントポータルで、左のナビゲーションパネルから 「Networking 」をクリックします。

    2. 右パネルの上部で、IP Spaces を選択する。

    3. VDCのエッジに関連付けられているIPスペース名をクリックします。 パブリック・エッジを持つ複数のVDCがある場合、IPスペース名の最初の3文字がVDCが作成されたデータ・センターと一致すれば、どのIPスペース名がエッジに関連付けられているかを特定できます。 例えば、t04 は tokyo04と一致する。

      必要に応じて、名前に V00 の値を使うこともできる。 エッジゲートウェイの詳細ページの[ 構成 ]で[ 全般]をクリックします。 プロバイダー・ゲートウェイ名には VRF000 の値があります。 例えば vfr015 のように、その値の番号を使用してください。 この例では、t04-xxx-V15-xxx というパターンを使って、正しいIPスペース・エントリーを見つける。

    4. IPスペースの詳細ページの Allocation セクションで、 IP Prefixesを選択します。

    5. テーブルの上部にある「 REQUEST 」をクリックする。

  2. ネットワークを作る。

    1. ターゲットVDCで 「Networks」 タブをクリックします。 次に「 NEW」をクリックする。
    2. 新しい組織のVDCネットワークのネットワーク設定を完了します。
      • スコープ(Scope) 」で「 現在の組織の仮想データセンター(Current Organization Virtual Data Center) 」を選択し、「 次へ(NEXT) 」をクリックします。
      • Network Type ]で[ Routed ]を選択し、[ NEXT]をクリックします。
      • エッジ接続では、単一のエッジを選択し、 分散ルーティングをオンに切り替えます。 次へをクリックします。
      • General(全般)]でGateway CIDR(ゲートウェイCIDR)]の IPプレフィックスを選択し、[ NEXT(次へ)]をクリックします。
      • 残りのネットワーク設定を完了し、「 完了 」をクリックします。

  3. IPプレフィックスアドレスを使用するVMを作成する。 詳細については VMwareでのスタンドアロン仮想マシンの作成 」を参照してください。

    • IPプレフィックス・アドレスを使用するVMを作成する場合は、IPプレフィックス・ネットワークを使用する必要があります。
    • プライマリNICの設定では、 IP Modeを Static - Manualに設定し、 IP Addressに IP Prefixアドレスの1つを割り当てます。
    • ファイアウォールの設定がイングレス・トラフィックとイグレス・トラフィックに設定されていることを確認してください。

VPNを使用して、 VMware by Broadcomのワークロードを次のように接続します。 IBM Cloud

VPN を使用して、 VMware by Broadcom ワークロードをパブリックネットワーク経由で サービスとしての VCF シングルテナントおよびマルチテナント インスタンスに接続できます。

サービスとしての VCFのパブリックインターネット上のVDCエッジゲートウェイに対して、ルートベースのIPsec VPNを作成する

以下のステップは、検証されたプロセスの概要である。 多くの異なるコンフィギュレーションが機能し、IPsecトンネルのリモート側によっては異なるコンフィギュレーションが必要になるかもしれない。

始める前に、エッジのパブリックエグレスルールが内部IP 値に「Any 使用していないことを確認してください。 ルールは、SNATイグレスをサポートする内部VDCネットワークのCIDRを指定する必要があります。

  1. テナントポータルで、左のナビゲーションパネルから「 データセンター 」をクリックします。
  2. 仮想データセンターの詳細ページで、ルートベースIPsec VPNを作成するVDCをクリックします。
  3. VDCの左側のナビゲーションパネルで、 Networkingを展開し、 Edgesをクリックします。
  4. サービス」 セクションで IPSec VPN.
  5. NEW をクリックし、IPsec VPNトンネルの以下のフィールドを入力します。

    1. General Settings(一般設定)では、以下の選択を完了し、NEXT(次へ) をクリックします。

      • NameDescription には、VPN を説明するのに役立つ詳細を記入してください。
      • Type(タイプ)」で「Route Based(ルートベース)」を選択する。
      • セキュリティ・プロファイルはデフォルトを使用する。
      • Status の場合は、enableに切り替える。
      • ログを取る場合は、無効に切り替える。

    2. Peer Authentication Mode(ピア認証モード)では、以下の選択を完了し、NEXT をクリックします。

      • Authentication Mode(認証モード)では、Pre-Shared Key(事前共有キー)を選択する。 この値は、VPNトンネルの反対側でも使用する必要があります。
      • 事前共有キーには、VPNトンネルの反対側でも使用される安全な値を入力します。

    3. Endpoint Configuration(エンドポイント・コンフィギュレーション)では、以下の選択を完了し、NEXT(次へ) をクリックします。

      • Local Endpoint には、利用可能で未使用のパブリックIPアドレスを入力する。 パブリックIPアドレスは、IPスペース・フローティングIPでも割り当てられなければならない。
      • Remote Endpoint には、VPNのリモート側のパブリックIPアドレスを入力します。 VPNのリモート側のアドレスはローカルIPアドレスと呼ばれる。 リモートID フィールドは空のままにしておきます。
      • 仮想トンネルインターフェイス(VTI)トンネルインターフェイスの場合は、リンクローカル範囲169.254.0.0/16)の「/30 または「/31 ネットワークに値を設定する。 同じトンネル・インターフェイスを再利用しないこと。 次の例を考えてみよう。
      トンネル・インターフェイスの例
      ローカル・インターフェース リモート・インターフェース (remote interface)
      169.254.101.1/30 169.254.101.2/30
      169.254.110.5/30 169.254.110.6/30
      169.254.120.9/30 169.254.120.10/30
      169.254.139.13/30 169.254.130.14/30

    4. 設定が正確かどうかを確認し、「 完了 」をクリックします。

  6. 左のナビゲーション・パネルの Routing セクションで、 Static Routesをクリックする。
  7. **NEW]**をクリックし、新しいスタティック・ルートについて以下のフィールドに入力します。
    1. General タブで、以下の選択を完了する。
      • NameDescription には、スタティックルートを説明するのに役立つ詳細を入力します。
      • Network には、VPNが接続するリモートネットワークを入力します。 例えば、192.168.47.0/24 です。
      • Route Advertised フィールドがオフになっていることを確認する。
    2. Next Hops タブで、以下の選択を完了する。
      • IP Address には、リモートトンネルのトンネル IP アドレスを入力します。 例えば、169.254.101.1 です。
      • Admin Distance には 1を入力する。
      • Scope の場合は空欄のまま。
    3. 保存 をクリックします。

サービスとしての VCFのVDCプロバイダゲートウェイに対して、パブリックインターネット経由でルートベースのIPsec VPNを作成する

VMwareCloud Director のテナント ポータルを使用して、プロバイダー ゲートウェイ上のルート ベースの IPsec VPN トンネルを自動構成できます。 この設定により、IPsec VPNトンネル、IPスペース・アップリンク、および関連するBGPプレフィックス、マップ、ネイバーがVMwareCloud Directorに自動的に作成されます。 VMwareCloud Director は、IPsec VPN トンネルを通してアドバタイズされるネットワークの定義に IP スペースを使用します。

エッジゲートウェイのイグレスNATルールが優先される。 例えば、エッジゲートウェイがターゲットトラフィックを IPsec トンネルとは異なる場所に送信する SNAT のイグレスルールを持っている場合、そのルールが優先され、トラフィックは IPsec トンネルを使用しない。

以下のステップは、検証されたプロセスの概要である。 多くの異なるコンフィギュレーションが機能し、IPsec VPNトンネルのリモート側によっては、異なるコンフィギュレーションが必要になるかもしれない。

ステップ1:IPスペースの作成
  1. テナントポータルで、左のナビゲーションパネルから 「Networking 」をクリックします。
  2. 右パネルの上部で、IP Spaces を選択する。
  3. IP Spacesテーブルの上部にある New をクリックします。
    1. General(一般) については、以下の選択を完了し、NEXT(次へ)をクリックします。
      • NameDescription には、VPN を説明するのに役立つ詳細を記入してください。
    2. Network Topology(ネットワーク・トポロジー)では、以下の選択を完了し、NEXT(次へ) をクリックします。
      • 有効にするには、Route Advertisement Allowed を選択します。
      • デフォルトの自動構成ルールは無効にしておく。
    3. スコープについては、以下のセクションに記入し、「NEXT」 をクリックします。
      • Internal Scope には、VPNで共有するローカルVDCのVDCネットワークCIDRを入力します。 例えば、192.168.19.0/24 です。
      • External Scope には、VPNで共有するリモートネットワークのCIDRを入力します。 例えば、192.168.47.0/24 です。
    4. IP Ranges については、以下のセクションに記入し、NEXT をクリックします。 このフィールドを空白のままにして、内部スコープとして識別されるネットワーク全体を共有することも、内部スコープ内の範囲のみを共有するように指定することもできる。
    5. IPプレフィックスについては、以下のセクションに記入し、NEXT をクリックします。 このフィールドを空白のままにして、内部スコープとして識別されるネットワーク全体を共有することも、識別されるプレフィックス内のIP範囲を共有するように指定することもできる。
    6. 設定が正確かどうかを確認し、「 完了 」をクリックします。
ステップ2:プロバイダー・ゲートウェイIPsec VPNの作成
  1. テナントポータルで、左のナビゲーションパネルから 「Networking 」をクリックします。
  2. 右パネルの上部で、Provider Gateways を選択します。
  3. Te VDCに関連付けられているプロバイダーゲートウェイをクリックします。 複数の VDC がある場合は、以下の手順を実行して正しいプロバイダ・ゲートウェイを特定してください。
    1. テナントポータルで、左のナビゲーションパネルから「 データセンター 」をクリックします。
    2. 仮想データセンターの詳細ページで、プロバイダー・ゲートウェイIPsec VPNを作成するVDCをクリックします。
    3. VDCの左側のナビゲーションパネルで、 Networkingを展開し、 Edgesをクリックします。
    4. エッジゲートウェイの詳細ページの[ 構成 ]で[ 全般]をクリックします。 プロバイダーゲートウェイ名を検索します。
  4. サービス」 セクションで IPSec VPN.
  5. IPSec VPN テーブルの上で、AUTOCONFIGURE をクリックします。
    • Name には、VPN の説明を入力します。
    • IPスペースについては、ドロップダウンメニューから以前に作成したIPスペースのエントリを選択します。
    • Remote Endpoint には、VPNのリモート側のパブリックIPアドレスを入力します。
    • Local Endpoint には、VDCから利用可能で未使用のパブリックIPアドレスを入力します。 パブリックIPアドレスは、IP Spaces Floating IPsで割り当てる必要があります。
    • Pre-Shared Key には、安全な値を入力します。
    • Local Tunnel Interface については、デフォルト値を使用することを推奨する。 VPNトンネルの両側で異なる値を使用する必要がある。 例えば、ローカル側は「192.168.200.1/30 使用し、リモート側は「192.168.200.2/30 使用する。
    • Remote VTI Address には、VPNトンネルの反対側で使用されるIPアドレスを入力します。 ほとんどの場合、デフォルト値がベストである。 例えば、192.168.200.2 です。
    • BGP Neighbor Remote AS Number には、'65001 ような一般的な BGP 番号を入力します。 ローカルとリモートで異なるBGP番号を指定する必要があります。
    • BGP Neighbor Local AS Number には、'65002 ような一般的な BGP 番号を入力します。 ローカルとリモートで異なるBGP番号を指定する必要があります。
  6. 設定が正確かどうかを確認し、「 完了 」をクリックします。

サービスとしての VCFのVDCエッジゲートウェイに対して、パブリックインターネット経由でポリシーベースのIPsec VPNを作成する

以下のステップは、検証されたプロセスの概要である。 多くの異なるコンフィギュレーションが機能し、IPsecトンネルのリモート側によっては異なるコンフィギュレーションが必要になるかもしれない。

始める前に、エッジのパブリックエグレスルールが内部IP 値に「Any 使用していないことを確認してください。 ルールは、SNATイグレスをサポートする内部VDCネットワークのCIDRを指定する必要があります。

  1. テナントポータルで、左のナビゲーションパネルから「 データセンター 」をクリックします。
  2. 仮想データセンターの詳細ページで、ポリシーベースのIPsec VPNを作成するVDCをクリックします。
  3. VDCの左側のナビゲーションパネルで、 Networkingを展開し、 Edgesをクリックします。
  4. サービス」 セクションで IPSec VPN.
  5. NEW をクリックし、IPsec VPNトンネルの以下のフィールドを入力します。
    1. General Settings(一般設定)では、以下の選択を完了し、NEXT(次へ) をクリックします。
      • NameDescription には、VPN を説明するのに役立つ詳細を記入してください。
      • TypePolicy Based を選択する。
      • セキュリティ・プロファイルはデフォルトを使用する。
      • Status の場合は、enableに切り替える。
      • ログを取る場合は、無効に切り替える。
    2. Peer Authentication Mode(ピア認証モード)では、以下の選択を完了し、NEXT をクリックします。
      • Authentication Mode(認証モード)では、Pre-Shared Key(事前共有キー)を選択する。 この値は、VPNトンネルの反対側でも使用する必要があります。
      • 事前共有キーには、VPNトンネルの反対側でも使用される安全な値を入力します。
    3. Endpoint Configuration(エンドポイント・コンフィギュレーション)では、以下の選択を完了し、NEXT(次へ) をクリックします。
      • Local Endpoint IP Address には、使用可能で未使用のパブリックIPアドレスを入力する。 パブリックIPアドレスは、IPスペース・フローティングIPでも割り当てられなければならない。
      • Local Endpoint Networks には、VPN上で共有するローカルVDCのVDCネットワークCIDRを入力します。 例えば、192.168.19.0/24 です。
      • Remote Endpoint IP Address には、VPNのリモート側のパブリックIPアドレスを入力します。 VPNのリモート側のアドレスはローカルIPアドレスと呼ばれる。
      • Remote Endpoint Networks の場合は、VPN上で共有するリモートVDCのVDCネットワークCIDRを入力します。 例えば、192.168.47.0/24 です。
      • リモートID は空のままにしてください。
    4. 設定が正確かどうかを確認し、「 完了 」をクリックします。

サービスとしての VCFの公衆インターネット上でVDCエッジゲートウェイに対してL2VPNを作成する

以下のステップは、検証されたプロセスの概要である。 また、L2VPNのリモート側によっては、異なる設定が必要になることもある。

始める前に、エッジのパブリックエグレスルールが内部IP 値に「Any 使用していないことを確認してください。 ルールは、SNATイグレスをサポートする内部VDCネットワークのCIDRを指定する必要があります。

L2VPNサーバーの設定手順
  1. テナントポータルで、左のナビゲーションパネルから「 データセンター 」をクリックします。
  2. 仮想データセンターの詳細ページで、 L2 VPN を作成する VDC をクリックします。
  3. VDCの左側のナビゲーションパネルで、 Networkingを展開し、 Edgesをクリックします。
  4. サービス」 セクションで、 「L2 VPN 」をクリックします。
  5. **NEW ** をクリックし、L2VPN トンネルの以下のフィールドを入力します。

    1. Choose Session Mode では、L2VPNのセッションモードを Server に設定する。 L2VPN クライアントを設定する手順では、相手側を Client に設定する。

    2. General Settings(一般設定)では、以下の選択を完了し、NEXT(次へ) をクリックします。

      • NameDescription には、VPN を説明するのに役立つ詳細を記入してください。
      • Pre-Shared Key には、安全な値を入力します。
      • **State ** の場合は、トグルで有効にする。

    3. Endpoint Setup(エンドポイントセットアップ)では、以下の選択を完了する。

      • Local Endpoint には、利用可能で未使用のパブリックIPアドレスを入力する。 パブリックIPアドレスは、IP Spaces Floating IPsで割り当てる必要があります。
      • Tunnel Interface CIDR では、リンクローカル範囲169.254.0.0/16)の「/30 または「/31 ネットワークに値を設定する。 同じトンネル・インターフェイスを再利用しないこと。 次の例を考えてみよう:
        • 169.254.101.1/30
        • 169.254.110.5/30
        • 169.254.120.9/30
        • 169.254.139.13/30
      • リモートIP には、VPNのリモート側のパブリックIPアドレスを入力します。 VPNのリモート側のアドレスはローカルIPアドレスと呼ばれる。
      • Initiation Mode では、3つのオプション(Initiator、Respond Only、On Demand)のいずれかを選択し、NEXT をクリックする。

    4. Org VDC Networks の場合は、L2VPNに参加するVDCネットワークを選択し、NEXT をクリックします。

      L2VPNの両端は、VPNの両端にまたがるサーバーとVMに一意のIPを割り当て、同じネットワークIP範囲を使用する必要があります。 例えば、L2VPNはトンネルの一端を「192.168.50.10-192.168.50.100 使用するネットワークに接続し、もう一端を「192.168.50.101-192.168.50.190 使用するネットワークに接続する。

    5. 設定が正確かどうかを確認し、「 完了 」をクリックします。

L2VPNクライアントの設定手順
  1. テナントポータルで、左のナビゲーションパネルから「 データセンター 」をクリックします。
  2. 仮想データセンターの詳細ページで、 L2 VPN を作成する VDC をクリックします。
  3. VDCの左側のナビゲーションパネルで、 Networkingを展開し、 Edgesをクリックします。
  4. サービス」 セクションで、 「L2 VPN 」をクリックします。
  5. **NEW ** をクリックし、L2VPN トンネルの以下のフィールドを入力します。

    1. Choose Session Mode] では、L2VPN のセッションモードを [Client] に設定します。 反対側はサーバーだ。

    2. General Settings(一般設定)では、以下の選択を完了し、NEXT(次へ) をクリックします。

      • NameDescription には、VPN を説明するのに役立つ詳細を記入してください。
      • Peer Code には、L2VPN のサーバー側の値を使用する。 サーバー側がDirector VDCの場合は、L2VPNのサーバー側であるVDCから以下の手順を実行します。
        1. VDCの左側のナビゲーションパネルで、 Networkingを展開し、 Edgesをクリックします。
        2. サービス」 セクションで 「 L2 VPN」を選択し、リストから「 L2 VPN Server」を選択します。
        3. 表の上にある「ピアコードをコピー」をクリックする。
        4. クライアントL2VPN の「ピアコード 入力*フィールドにピアコードの値を貼り付けます。
        5. **State ** の場合は、トグルで有効にする。

    3. Endpoint Setup(エンドポイントセットアップ)では、以下の選択を完了し、NEXT(次へ) をクリックします。

      • Local Endpoint には、利用可能で未使用のパブリックIPアドレスを入力する。 このIPアドレスは、L2VPNサーバーのコンフィグでリモートIP として使用されているアドレスと同じです。 また、IPアドレスはIP Spaces Floating IPsで割り当てる必要がある。
      • リモートIP には、L2VPNのリモート側のパブリックIPアドレスを入力します。 VPNのサーバー側のアドレスをローカルIPアドレスと呼ぶ。

    4. Org VDC Networks の場合は、以下の選択を完了し、NEXT をクリックします。

      • L2VPN上に拡張するVDCネットワークを選択します。

      L2VPNの両端は、VPNの両端にまたがるサーバーとVMに一意のIPを割り当て、同じネットワークIP範囲を使用する必要があります。 例えば、L2VPNはトンネルの一端を「192.168.50.10-192.168.50.100 使用するネットワークに接続し、もう一端を「192.168.50.101-192.168.50.190 使用するネットワークに接続する。

      • Tunnel ID には、L2VPN トンネルごとに増加する番号を使用する。 最初のトンネルには「1 使用する。 つ目のトンネルには「2 使い、以下同様。

    5. 設定が正確かどうかを確認し、「 完了 」をクリックします。

エッジゲートウェイのファイアウォールログの表示

テナントポータルを使用してファイアウォールログを表示し、エッジゲートウェイ環境のトラブルシューティングを行うことができます。

  1. テナントポータルで、左のナビゲーションパネルから「 データセンター 」をクリックします。
  2. 仮想データセンターの詳細ページで、ファイアウォールログを表示するVDCをクリックします。
  3. VDCの左側のナビゲーションパネルで、 Networkingを展開し、 Edgesをクリックします。
  4. サービス] セクションで、[ ファイアウォール] をクリックします。
  5. ログタブをクリックすると、ファイアウォールのログの詳細が表示されます。

VMware Cloud Directorのテナントポータルでサービスを利用する

Operations Manager へのアクセス

Operations Managerを使用して、VDC、vApp,およびVMレベルのメトリックを表示し、メトリック・データをエクスポートします。 このデータを使用して、リソース使用量を分離し、請求料金の把握に役立てることができます。

Operations Managerサービスはデフォルトで有効になっている。 VMwareCloud Director のテナント ポータルから [More] > [Operations Manager] をクリックして、Operations Manager の Web UI にアクセスします。

Operations Manager の使用に関する詳細については、 VMware Aria Operations の「 VMware Cloud Director(VCD)ベースのマルチテナンシー操作の実行」 を参照してください。