IBM Cloud Docs
VMware HCX の注文

VMware HCX の注文

新しい VMware Cloud Foundation for Classic - Automated インスタンスに VMware HCX™ サービスを含めることも、既存のインスタンスにサービスを追加することもできます。

HCX をインストールする際の考慮事項

HCXをインストールする前に、以下の注意事項を確認してください。

ESXi サーバーの数に関する要件

HCXサービスメッシュのターゲットクラスタには、 VMware ESXiサーバーを51台以上配置できません。 HCX は、サービス・メッシュ・ターゲット・クラスターの vMotion サブネット内に 8 つの IP アドレスを必要とします。 この要件があるため、ESXi サーバーの数が 51 を超えると、HCX で使用できる vMotion サブネット内の IP アドレスがなくなります。

NSX-V インスタンスを持つ既存の VCF for Classic - Automated の場合、サービスメッシュのターゲットクラスタはデフォルトクラスタになります。

ファイアウォール・ルールに関する要件

HCX サービスをインストールする前に、ファイアウォール・ルールをすべての既存のファイアウォールに追加しておく必要があります。

  1. VMware Solutions コンソールで、左のナビゲーション・パネルから Resources > クラシックの VCF をクリックする。

  2. テーブルで VMware Cloud Foundation for Classic テーブルで、インスタンスをクリックして、そのインスタンスからのクラスタを表示します。

  3. インフラストラクチャタブをクリックし、HCXサービスをインストールするクラスタを選択します。

  4. クラスター・ページの**「ネットワーク・インターフェース」**セクションに進みます。

  5. Public VLANオプションを折りたたみ、クラスタのポータブルサブネットに対応する説明のサブネットを折りたたみます。

  6. ファイアウォールルールのトラフィックをルーティングするには、サービス T0 uplink2 仮想IPアドレスのIPアドレスを使用します。 HCX Manager 仮想アプライアンス (HCX Manager) の自己登録を可能にするために、すべてのアウトバウンド HTTPS トラフィックを許可するファイアウォール・ルールが必要です。

  7. HCX Manager のインストールが完了したら、ファイアウォール・ルールを除去してもかまいません。

HCX Cloud IPアドレスへのアクセスは、ゲートウェイのファイアウォールルールによって制限されています。 HCX Cloud IPアドレスへのアクセスを有効にするには、ファイアウォールのルールを変更して、受信トラフィックを許可する必要があります。 これを行うには、NSX Managerにログインし、ゲートウェイファイアウォールルール HCX_Inbound_Traffic_1_for_{{ hcxhostname }} を見つけます。 アクション値をREJECTからALLOWに変更します。

さらに、HCX を適切に機能させるためのファイアウォール・ルールを構成する必要があります。 詳細については、VMware HCX のポート アクセス要件を参照してください。

新しいインスタンスにHCXを注文する

  1. インスタンス を注文したら、アドオンサービスセクションまでスクロールダウンします。 HCXはデータ回復力と移行カテゴリーに属している。
  2. カテゴリーを開き、HCXを見つけ、そのスイッチをオンに切り替える。
  3. 編集をクリックして 設定情報 を確認・指定し、保存をクリックします。

既存のインスタンスにHCXを注文する

  1. インスタンスの詳細ページで、「 サービス」 タブをクリックします。
  2. **「追加」**をクリックして、サービスを追加します。
  3. Add services ページで、Data resiliency and migration セクションの HCX サービスを見つけ、そのスイッチをオンに切り替えます。
  4. 編集をクリックして 設定情報 を確認・指定し、保存をクリックします。

HCX 構成

HCXをインストールするには、以下の手順を実行します:

  1. HCXサービスメッシュのターゲットクラスタ(管理クラスタまたはワークロードクラスタ)を選択します。

  2. 以下のいずれかのオプションを選択して、HCX ネットワーク接続を指定します。 管理クラスターまたはサービス・メッシュ・ターゲット・クラスターのいずれかがプライベート・ネットワークのみでデプロイされている場合、選択できるネットワーキング・オプションはプライベートのみです。

    • Public network - HCX がパブリック・ネットワークでサイト間の暗号化接続を作成します。 ライセンスの登録と課金は、パブリック・ネットワークを介して行われます。
    • Private network - HCX がプライベート・ネットワークでサイト間の暗号化接続を作成します。 ライセンスの登録と課金は、HTTP プロキシーを介してプライベート・ネットワーク上で行われます。

  3. プライベート・ネットワーク接続が選択されている場合は、プロキシー情報が表示されます。 そうでない場合、プロキシー・オプションは使用できません。 プロキシフィールドには、IBM Cloudプライベートネットワークからのトラフィックを受け入れ、connect.hcx.vmware.com のHCXアクティベーションサービスにトラフィックを転送する、動作中のプロキシサーバーを反映する必要があります。 HCXサービスのインストール後、以下の方法でライセンスをアクティベートします:

    プロキシサーバーに接続できない場合、またはライセンス認証要求を処理できない場合、HCX自動インストールは失敗します。 vCenter がインストールされている VLAN を管理するファイアウォールが、新しい HCX マネージャーからのトラフィックを connect.hcx.vmware.com にルーティングするように設定されている場合、プロキシサーバーは必要ありません。

    以下のプロキシフィールドに記入する:

    • プロキシー IP アドレス (Proxy IP address) - プロキシー・サーバーの IPv4 アドレス。
    • プロキシー・ポート番号 (Proxy port number) - プロキシー・サーバーのポート。 ポート番号は通常、8080 または 3128 です。
    • プロキシー・ユーザー名 (Proxy user name) (オプション) - プロキシー認証が必要な場合のユーザー名。
    • プロキシー・パスワード (Proxy password) (オプション) - プロキシー認証が必要な場合のパスワード。
    • プロキシー・パスワードの再入力 (Reenter proxy password) (オプション) - プロキシー認証の確認のためにパスワードを再入力します。

  4. **「Public endpoint certificate type」**を指定します。 **「CA 証明書」**を選択する場合、以下の設定を構成してください。

    • 証明書の内容 - CA 証明書の内容を入力します。
    • 秘密鍵 - CA 証明書の秘密鍵を入力します。
    • パスワード (オプション) - 秘密鍵が暗号化されている場合は、秘密鍵のパスワードを入力します。
    • パスワードの再入力 (オプション) - 秘密鍵のパスワードをもう一度入力します。
    • ホスト名 (オプション) - CA 証明書の共通名 (CN) にマップするホスト名。 HCX では、CA 証明書の形式を NSX Edge で有効な形式にしなければなりません。 NSX Edgeの証明書フォーマットの詳細については、SSL証明書のインポートを参照してください。

HCX のデプロイメント・プロセス

HCX のデプロイメントは自動的に行われます。 サービスが含まれた VCF for Classic - Automated インスタンスを注文する場合でも、後でインスタンスにサービスをデプロイする場合でも、 IBM Cloud for VMware Solutions 自動化プロセスによって以下の手順が完了します:

BYOL(Bring Your Own License)では、自動デプロイ プロセスはサポートされていません。 HCXの展開プロセスを手動で完了する必要があります。

  1. IBM Cloud インフラストラクチャー上の HCX 用に、次の 3 つのサブネットが注文されます。

    • HCX 管理用プライベート・ポータブル・サブネットを 1 つ。
    • HCX 相互接続用プライベート・ポータブル・サブネットを 1 つ。 このサブネットは、**「HCX 接続タイプ (HCX connection type)」「プライベート・ネットワーク」**オプションを選択した場合に使用されます。
    • **「HCX 接続タイプ (HCX connection type)」「パブリック・ネットワーク (Public network)」**オプションを選択している場合には、HCX 相互接続用パブリック・ポータブル・サブネットを 1 つ。 NSX-V では、このサブネットは VMware でのアクティベーションやメンテナンスにも使用されます。

    HCXのために注文されたサブネットのIPアドレスは、 VMware Solutions オートメーションによって管理されることを目的としています。 これらの IP アドレスは、自分で作成した VMware リソース(VM や NSX Edges など)に割り当てることはできません。 ユーザーの VMware 成果物用に追加の IP アドレスが必要な場合は、独自のサブネットを IBM Cloud に注文する必要があります。

  2. **「HCX Network Connection」に対して「Private Network」**が選択された場合、SDDC-DPortGroup-HCX-Private という名前のポート・グループがプライベート分散仮想スイッチ (DVS) に作成されます。

  3. HCX アクティベーション・キーが VMware から注文されます。

  4. NSX-T インスタンスで VCF for Classic - Automated を使用する場合、ファイアウォールルールおよびネットワークアドレス変換(NAT)ルールは、HCX Manager との間のインバウンドおよびアウトバウンド HTTPS トラフィックを許可するように構成されます。

  5. NSX-V インスタンス( VCF for Classic - Automated )を使用する場合、HCX 管理トラフィック用の NSX Edge Services Gateway(ESG)のペアが導入され、設定されます:

    • 注文したサブネットに基づいて、パブリック・アップリンク・インターフェースとプライベート・アップリンク・インターフェースが構成されます。
    • ESG がエクストラ・ラージ・エッジ・アプライアンスのペアとして構成され、高可用性 (HA) が有効になります。
    • HCX Manager との間のインバウンドとアウトバウンドの HTTPS トラフィックが可能になるように、ファイアウォール・ルールとネットワーク・アドレス変換 (NAT) ルールが構成されます。
    • ロード・バランサー・ルールとリソース・プールが構成されます。 これらのルールとリソースプールは、HCX関連の受信トラフィックをHCX Managerと VMware vCenter® Server Appliance(VCSA)の適切な仮想アプライアンスに転送するために使用されます。
    • ESG を通ってくる HCX 関連のインバウンド HTTPS トラフィックを暗号化するための SSL 証明書が適用されます。

    HCX 管理エッジは、オンプレミスの HCX コンポーネントとクラウド・サイドの HCX コンポーネントの間の HCX 管理トラフィック専用です。 HCX 管理エッジは、変更したり、HCX ネットワーク拡張に使用したりしないでください。 ネットワーク拡張用には別のエッジを作成してください。 また、ファイアウォールを使用する場合や、プライベート IBM 管理コンポーネントまたはインターネットへの HCX 管理エッジ通信を無効にした場合は、HCX の機能に影響を与える可能性があります。

  6. HCX Manager がデプロイされ、アクティブにされ、構成されます。

    • HCX ManagerはVCSAに登録されています。
    • HCX Manager、VCSA、NSX Manager が構成されています。
    • HCX のコンピュートおよびネットワークのプロファイルが作成されます。

  7. HCX Managerのホスト名とIPアドレスは、 VCF for Classic - Automated インスタンスのDNSサーバーに登録されます。