IBM Cloud Docs
VMware Solutions のインフラストラクチャー・ドメイン

VMware Solutions のインフラストラクチャー・ドメイン

IBM Cloud® for VMware Solutions インフラストラクチャドメインは、 VMware Cloud Foundation for Classic - Automated インスタンスの管理用のリソースオブジェクトとユーザーアカウントのみを保持します。 このドメインを使用してワークロード VM のリソース・オブジェクトとユーザー・アカウントを保持することはお勧めしません。

vCenter Server の設計では、IBM Cloud for VMware Solutions インフラストラクチャー Active Directory™ (AD) ドメインは以下の目的で使用されます。

  • DNS - サービスの一部としてプロビジョンされるアプライアンスには AD に DNS エントリーがあります。 これらのエントリーにより、vCenter Server インスタンスの機能で FQDN を使用して名前を参照できるようになります。
  • 認証サービス - AD セキュリティー・グループが追加され、自動化を有効にするためにいくつかのアカウントが追加されます。

IBM Cloud for VMware Solutions のすべてのプライマリー・インスタンスでは、フォレスト・ルート・ドメインがデプロイされ、サイト・トポロジーが構成されます。 IBM Cloud for VMware Solutions AD/DNS は常に専用のフォレストおよびドメインになります。IBM Cloud for VMware Solutions 自動化が中断される可能性があるため、このフォレストまたはドメインを削除することはできません。 automation という名前の IBM ユーザーの資格情報を作成できないため、ユーザーおよびリソースを既存のドメインの 1 つにマイグレーションしたり、新規ドメインを作成したりすることはできません。

vCenter Server インスタンスの注文プロセス中に、ホスト名の接頭部とドメイン・ネームが、Active Directory ドメイン・サービス (AD DS) および DNS 構成に関連するユーザーから収集されます。

これらの値は、インスタンスのユーザー名とサーバー名を生成するために使用されます。 詳しくは、vCenter Server インスタンスの注文を参照してください。

ドメイン・コントローラー

IBM Cloud® for VMware Solutions インフラストラクチャー・ドメインで使用されるすべての AD ドメイン・コントローラーは、お客様専用のものであり、他のお客様とは何も共有されません。 これらのドメイン・コントローラーのモニター、更新、バックアップ、およびリカバリーを行い、運用管理する必要があります。

これらのドメイン・コントローラーは、インスタンス用に選択したドメイン・ネームに対する権限を持っています。 DNS の責任をこれらのコントローラーに完全に委任できるように、必ずドメイン・スペース内で固有のドメイン・ネームを選択してください。

標準の AD ツールを使用して、オンプレミス AD の場合と同様に、ユーザー、グループ、コンピューター、およびグループ・ポリシーを管理する必要があります。 vCenter Serverインスタンス・プロビジョニングの一部としてデプロイされるオペレーティング・システムとAD環境の完全な管理制御が可能です。 必要に応じて、カスタム構成をセットアップし、単純なトポロジーまたは複雑なトポロジーを作成できます。

注文プロセス中に、以下をデプロイできます。

  • AD DS 用の単一 Microsoft® Windows® Server VSI
  • クラスター内の 2 つの高可用性 Microsoft Windows VM

現在は、オペレーティング・システムとして Microsoft Windows Server 2019 Standard がデプロイされます。 旧バージョンの 2 次インスタンスが存在する場合に備えて旧バージョンとの互換性を確保するために、ドメイン機能レベル 2008 が設定されています。 古い (2008) 2 次インスタンスに対する互換性を考慮する必要がない環境では、ドメイン機能レベルをより高いバージョンにアップグレードできます。

詳細については、 フォレストとドメインの機能レベルを参照してください。

単一 VSI ドメイン・コントローラー

以下の図は、単一 VSI ドメイン・コントローラーのデプロイメント・パターンを示しています。

単一 VSI ドメインコントローラー図
VSI ドメインコントローラー図
単一 VSI ドメインコントローラー図

単一 VSI を注文する場合は、同じタイプの 2 つ目の VSI を手動で注文することをお勧めします。 この VSI を 2 番目のドメイン・コントローラーとして構成して、AD DS を高可用性サービスとして使用可能にします。

以下の表に VSI 構成を示します。

VSI仕様
パラメーター 仕様
オペレーティング・システム Windows Server 2019 Standard Edition (64 ビット)
CPU 2 x 2.0 GHz 以上のコア
RAM 8 GB
ディスク 100 GB (SAN)
アップリンク・ポート速度 1 Gbps のプライベート・ネットワーク・アップリンク

ドメイン・コントローラーは、ADNS<instance_name>.<root_domain>という名前でプロビジョンされます、例えば、ADNSoncloud.cloud-east.myroot.local。 このサーバーは、ドメインのグローバル・カタログ・インスタンスです。

クラスター内の 2 つの高可用性 Microsoft Windows VM

以下の図は、2 つの高可用性 VM ドメイン・コントローラーのデプロイメント・パターンを示しています。

2つの高可用VMドメインコントローラーの
高可用VMドメインコントローラー
2つの高可用VMドメインコントローラー

2つの高可用性(HA) Microsoft Windows VMを注文する場合、2つの Microsoft Windows Server 2019ライセンスを提供する必要があります。 詳しくは、ドメイン・ネーム・システムの構成を参照してください。

vCenter Server インスタンスのプロビジョニング後、30 日以内に VM をアクティブ化してください。 クラスターは VM-VM アンチアフィニティー・ルールに従って構成されます。 そのため、Distributed Resource Scheduler (DRS) では、個々の VM を別々の物理 vSphere ESXi ホストに配置することによって VM の分離が試行されます。 以下の表に VM 構成を示します。

HA VM仕様
パラメーター 仕様
オペレーティング・システム Windows Server 2019 Standard Edition (64 ビット)
CPU 2
RAM 8 GB
ディスク 100 GB

ドメイン構成

ドメイン・コントローラーがプロビジョンされると、AD DS は以下のように構成されます。

  1. ドメイン・ネームは<root_domain>として設定され、オーダー・プロセスから収集されます。

  2. ic4V-vCenter AD セキュリティー・グループがドメインに追加されます。

  3. 以下の AD ユーザーがドメイン内に作成されます。

    • automation - Administrators、Domain Admins、Domain Users、Enterprise Admins、ic4V-vCenter、Schema Admins、および Users の各 AD グループのメンバー。
    • cloudbase-init - Administrators および Domain Users の各 AD グループのメンバー (このユーザーは、VSI の初期プロビジョニング中に使用されるため、VSI 自動化によって作成されます)。
    • アドオン・サービス・アカウント (例えば、prod-Caveonix-19765 または prod-Zerto-5c9cb035) - ic4V-vCenter および Domain Users の各 AD グループのメンバー。

お客様は、ic4V-vCenter AD セキュリティー・グループにさらにシステム管理者を追加して、各管理者の vCenter へのアクセスが許可されるようにする全アクセス権限を持っています。 このドメインには vCenter Server インスタンスを管理するためのリソースとユーザー・アカウントのみを保持することをお勧めします。

ユーザー ID

IBM Cloud 自動化によって、vCenter Server インスタンスの作成時の最初に、お客様および IBM のユーザー ID がいくつか構成されます。 IBM ユーザー ID は、 vCenter Server インスタンスへのクラスタ、 vSphere ESXi ホスト、またはストレージの追加などの操作の自動化で使用されます。 IBM ユーザー ID が削除または無効化された場合、あるいはそのパスワードが変更された場合、これらの操作は失敗することがあります。

詳しくは、IBM ユーザー ID を参照してください。

マルチサイト・トポロジー

IBM Cloud for VMware Solutions のオプションとして、マルチサイト・トポロジーで vCenter Server インスタンスをプロビジョニングできます。 最初のインスタンスはプライマリー・インスタンスになりますが、作成するトポロジーに応じて、その後の注文は、プライマリーまたはセカンダリーのどちらにもなる可能性があります。 プライマリー・インスタンスを使用してから、セカンダリー・インスタンスを選択すると、マルチサイト・トポロジーが作成されます。

マルチサイト構成では、最大で 15 個のインスタンス (プライマリー 1 つとセカンダリー 14 個) を使用できます。

  • プライマリー・インスタンス - 最初のインスタンスをデプロイするために、インスタンスの注文プロセス中に、そのインスタンスをプライマリーとして定義します。
  • セカンダリー・インスタンス - 注文プロセス中に、プライマリー・インスタンスに接続されるインスタンスは、セカンダリー・インスタンスとして定義されます。

ADとDNSのレプリケーションは、プライマリとセカンダリのインスタンスのドメインコントローラー間で自動的に設定される。 各サイトで単一の AD ドメイン・コントローラーを使用する場合は、以下のように DNS 設定を手動で構成してください。

  • プライマリー・インスタンス・コンポーネント - セカンダリー・インスタンス DNS をセカンダリー DNS サーバーとして使用する。
  • セカンダリー・インスタンス・コンポーネント - プライマリー・インスタンス DNS をセカンダリー DNS サーバーとして使用する。

マルチサイト構成の主な特徴は以下のとおりです。

  • 拡張リンク・モード
  • Cross vCenter NSX

拡張リンク・モードと Cross-vCenter NSX は補完的ですが、相互に分離されています。 詳しくは、vCenter Server インスタンス用のマルチサイト構成を参照してください。

拡張リンク・モード

拡張リンク・モード (ELM) を使用すると、リンクされたすべての vCenter Server システムを表示および検索したり、役割、許可、ライセンス、ポリシー、およびタグを複製したりできます。

ELM では、以下の利点がもたらされます。

  • 複数の vCenter Server を擁する環境を、単一の画面で確認できます。
  • シングル・サインオン (SSO) 資格情報を使用することで、プライマリーとセカンダリーの関係を簡単に作成することができます。
  • vCenter Server の自動化構成により、一緒にリンクされるすべてのサイトの DNS 名前解決が可能になります。
  • Cross-vCenter NSX 環境で、すべての NSX Manager を単一 vSphere Web クライアントから管理できます。
  • NSX と通常の vCenter 機能の両方について、すべてのサイトにわたり単一画面で管理します。

ELM は複数の の管理を簡素化するが、 サービスにHAをもたらすものではない。 vCenters, vCenter ELM は、セカンダリー・インスタンスのデプロイ時に、IBM Cloud for VMware Solutions 自動化によって構成されます。

Cross vCenter NSX

Cross-vCenter NSX では、プライマリー NSX Manager と複数のセカンダリー NSX Manager があります。 これらの NSX Manager は、それぞれ別個の vCenter Server にリンクされています。 プライマリー NSX Manager では、セカンダリー NSX Manager で表示可能なスイッチやルーターなどのユニバーサル NSX コンポーネントを作成できます。

Cross-vCenter NSX には以下の機能があります:

  • Cross-vCenter 環境では同じ論理ネットワークが使用可能であるため、どの vCenter Server システムのどのクラスターの VM であっても、同じ論理ネットワークに接続できます。
  • ファイアウォール・ルールは、一元化された場所から管理され、ロケーションや vCenter Server システムに関係なく VM に適用されます。
  • ユニバーサル・オブジェクトの管理が一元化され、管理作業が削減されます。
  • VM を再構成したりファイアウォール・ルールを変更したりすることなく、vCenter Server 間で vMotion を使用して VM をマイグレーションできます。

Cross-vCenter NSX を ELM と結合すると、リンクされたどの vCenter Server からでも、任意の NSX Manager およびすべてのユニバーサル NSX コンポーネントを表示して管理できます。 ELM は、Cross-vCenter NSX の前提条件でも要件でもありません。 ELM を使用しなくても、Cross-vCenter ユニバーサル・トランスポート・ゾーン、ユニバーサル・スイッチ、ユニバーサル・ルーター、およびユニバーサル・ファイアウォール・ルールを作成できます。 ただし、ELM を使用しない場合は、個別に vCenter Server にログインして、各 NSX Manager インスタンスにアクセスする必要があります。

Cross-vCenter NSX は自動的にデプロイされません。 「NSX をマネージャーモードで構成する」 の手順に従って、手動で展開する必要があります。

マルチサイト・トポロジーでの Active Directory、SSO、および DNS

AD、DNS、および SSO の構成は、プライマリー・インスタンスとセカンダリー・インスタンスで若干異なります。

プライマリー・インスタンスの構成は、以下のとおりです。

  • AD および DNS のルート・ドメインと SSO ドメイン
  • vCenter インスタンス固有の名前を持つ ドメインに属するサーバー root
  • インスタンス固有のプレフィックスを持つ root ドメインに属するホスト

セカンダリー・インスタンスの構成は、以下のとおりです。

  • プライマリー・インスタンスと同じルート・ドメインと SSO ドメイン
  • プライマリー・インスタンスとセカンダリー・インスタンスのドメイン・コントローラー間にセットアップされた DNS および AD のレプリケーション
  • インスタンス固有の名前を持ち、ルート・ドメインおよび SSO ドメインに属する vCenter Server
  • インスタンス固有のプレフィックスを持つ root ドメインに属するホスト
  • セカンダリー・インスタンスの vCenter からプライマリー・インスタンスの vCenter の間にセットアップされた拡張リンク・モード (ELM)。

お客様のユーザー ID

vCenter Server インスタンスの顧客ユーザー ID とパスワードは、 VMware Solutions コンソールのインスタンス詳細から入手できます。 詳しくは、vCenter および Platform Services Controller のユーザー ID を参照してください。

ドメイン・ネーム・システムの構成

vCenter Server インスタンスの設計では、AD ドメイン・コントローラーの DNS サービスが以下のように統合されます。

  • ドメイン構造は、インスタンスの注文プロセス中に指定されます。
  • ドメイン・コントローラーは、DNS ドメインで権限を持つように構成されます。
  • ドメイン・コントローラー・サーバーは、他のすべてのゾーンに対して IBM Cloud DNS サーバーをポイントするように構成されます。
  • プライマリー・インスタンスに統合されたセカンダリー vCenter Server インスタンスでは、同じ DNS 名構造が使用されます。

セカンダリー vCenter Server インスタンスがプライマリー・インスタンスにリンクされる場合、vCenter Server インスタンス・アプライアンスは、以下のように構成されます。

  • DNSは、プライマリ・インスタンスのAD DNSサーバーIPアドレスで構成されます。
  • セカンダリDNSには、セカンダリ・インスタンスのAD DNSサーバーIPアドレスが設定されます。

AD DS DNS は、<root_domain> という名前のフォワード・ルックアップ・ゾーンを使用して構成され、以下のホスト (A) レコードが取り込まれます。

  • clouddriver
  • <instance_name>-vc
  • <instance_name>-nsx
  • アドオン・サービス (注文された場合)。 例えば、インスタンス固有の名前を持つ HCX、Caveonix RiskForesight、Veeam、Zerto など。

アプライアンス用として Start of Authority (SOA)、ネーム・サーバー (NS)、および必須ポインター (PTR) の各レコードを持つ逆引き参照ゾーンが、以下のサブネット内で構成されます。

  • 管理サブネット
  • Internal-mgmtサブネット
  • アドオン・サービスのサブネット。 たとえば、HCX サブネットまたは Caveonix RiskForesight サブネットです。

フォワーダー・セクションは、以下を使用して構成されます。

  • 10.0.80.12
  • 10.0.80.11

フォワーダーは、AD サーバーが解決できないレコードの DNS 照会を解決するために AD DNS サーバーが使用できる DNS サーバーです。10.0.80.12 と 10.0.80.11 は、IBM Cloud 解決ネーム・サーバーの 2 つのアドレスです。 解決ネームサーバーはプライベートネットワーク上にあり、DNSリゾルバーとして機能する。 プライベート・リゾルバーは、ドメイン参照のためにインターネットのルート・ネーム・サーバーに照会し、プライベート・ネットワーク上でこの情報を解決することにより、お客様の帯域幅使用量を抑え続け、権限サーバーに対する負荷を軽減し、素早い解決を提供します。 プライベート・ネットワーク・リゾルバーは、お客様向けの便利なサービスです。

すべてのデプロイ済みアプライアンス( vCenter Server Appliance、NSX Manager およびコントローラ、 vSphere ESXi ホスト)には、デフォルト DNS として AD DNS サーバを指すように構成された DNS 設定があります。 DNS ゾーン構成は、デプロイ済みのコンポーネントの構成と干渉しない限りカスタマイズが可能です。