初期構成
VMware Cloud Foundation for Classic - Automated オートメーションでは、 VMware vCenter® Server Appliance(VCSA)を構成し、デフォルトゲートウェイを IBM Cloud Backend Customer Router(BCR)に設定します。 しかし、BCRを経由してインターネットにつながるルートは存在しない。 管理コンポーネントのVCF for Classic - Automatedインスタンスからインターネットへの標準ルートは、サービスT0を経由します。 VMware Update Manager (VUM)を有効にするには、VCSAまたはサービス T0 の構成を変更することは推奨されないため、顧客サブネット上にプロキシ・サーバーを実装することを推奨する。
このアプローチでは、VCSA やサービス( T0 )を再設定する必要はないが、小規模な仮想マシン(VM)をインストールする必要がある。 プロキシー・サーバーは、2 つのエンドポイント・デバイス間に存在し、中間デバイスとして機能するシステムです。 この場合、VCSA と VMware にあるアップデート・サーバの間に位置する。
VUMが VMware、アップデートサーバーにリソー スを要求すると、その要求はまずプロキシサーバーに送信され、プロキシサーバー は次にその要求をアップデートサーバーに送信する。 プロキシー・サーバーによってリソースが取得されると、そのリソースは VUM に送信されます。 プロキシー・サーバーは、セキュリティー、管理制御、およびキャッシング・サービスを容易にするために使用できます。
Linux、 Squid に基づいてプロキシサーバーを使用することができます。 Squid プロキシーは、Web 用のオープン・ソース・キャッシング・プロキシーであり、HTTP や HTTPS などの多くのプロトコルをサポートします。 使用可能な VM およびアプライアンス・ベースのプロキシーは多数あり、企業の要件に基づいて適切なプロキシーを選択し、ベンダーのガイダンスに従ってインストールおよび構成する必要があります。 Squid の実装を使用することを選択した場合は、以下のプロセスを続行する。
- Linux ISOをジャンプサーバーにダウンロードする。
- vCenter ライブラリーを作成します。
- vCenter ライブラリーに ISO をアップロードします。
- VMを作成し、 Linux をインストール、設定し、 Squid をインストールする。
サブネット情報の検索
このタスクを開始する前に、以下の表に取り込むために情報を収集してください。 推奨値を確認し、それらがご使用の環境にとって適切な値になるようにします。
お客様のプライベート・ポータブル・サブネットの詳細を検索するには、以下の手順を実行します:
-
VMware Solutions コンソールで、左のナビゲーション・パネルから Resources > クラシックの VCF をクリックする。
-
必要なインスタンスを選択する。
-
インフラストラクチャタブをクリックし、必要なクラスタを選択します。
-
**「プライベート VLAN」**を選択し、
Private subnet for customer workload edgeというラベルのサブネットを見つけます。 -
IPアドレスとその割り当てを表示するサブネットの詳細ページを表示するには、サブネットを選択します。
-
この情報を使って、割り当てられていないIPアドレスを選択し、適切なコメントを付けてノートを更新する。 この IP アドレスを以下の表の
proxy ipパラメーターに使用します。
| パラメーター | 推奨値 | 注記 |
|---|---|---|
| プロキシー CPU | 1 つの vCPU | Squid には最低条件はない。 |
| プロキシー RAM | 2 GB | Squid には最低条件はない。 |
| プロキシー・ディスク | 25 GB | Squid には最低条件はない。 |
| ホスト名 | Proxy01 |
|
| アドレス | プロキシー IP | 予備の IP アドレスは、プロビジョニング・プロセス中に割り当てられた顧客のプライベート・ポータブル・サブネットから使用する必要があります。 |
| ネットマスク | 255.255.255.192 | なし |
| ゲートウェイ | 顧客 T0 uplink1 バーチャルIPアドレス | このパラメータは、プロキシサーバーのデフォルトゲートウェイ設定であり、顧客 T0 のプライベートアップリンクIPアドレスである。 IP アドレスは、IBM Cloud for VMware Solutionsコンソールで詳細を確認し、顧客のワークロードエッジのポータブルプライベートサブネットをブラウズすることで見つけることができます。 |
| DNSサーバー | AD/DNS IP | この IP アドレスは、IBM Cloud for VMware Solutions コンソールの Resources > VCF for classic > Summary ページで確認できます。 |
| BCR IP | BCR IP | プロキシー IP を選択したものと同じページで、Gateway というラベルの付いたアドレスに注目してください。 このアドレスは、 IBM Cloud Backend Customer Router の IP アドレスであり、 10.0.0.0/8、 161.26.0.0/16、 166.8.0.0/14 のゲートウェイである。 後でこのアドレスは、VCSA
および AD/DNS サーバーに到達できるように、プロキシー・サーバーの静的ルートで使用します。 |
| NAT IP | T1 SNAT アドレス | 顧客のワークロードエッジのパブリック T1 SNATアドレスは、プロキシのパブリックNATアドレスとして機能する。 この IP アドレスは、IBM Cloud for VMware Solutions コンソールで詳細を確認し、顧客のワークロード エッジの Portable パブリック サブネットをブラウズすることで見つけることができます。 |
NSX の構成
NSX-T の顧客ワークロード T0 プロキシサーバーのトラフィックを有効にするには、ファイアウォールと NAT の設定が必要です。
ファイアウォールのセットアップ
次の表のパラメータを使用して、ゲートウェイファイアウォールポリシーとルールを追加します。 詳細については、ゲートウェイファイアウォールポリシーとルールを追加するを参照してください。
| パラメーター | 推奨値 |
|---|---|
| 名前 | Outbound Proxy01 |
| ソース | プロキシー・サーバー IP |
| 接続先 | 任意 |
| サービス | HTTP/HTTPS/ICMP Echo |
| アクション | 許可 |
NAT ルールの定義
以下の表のパラメータを使用して、NATルールを追加する。 詳細については、SNAT/DNAT/SNATなし/DNATなし/リフレクティブNATを設定するを参照してください。
| パラメーター | 推奨値 |
|---|---|
| 名前 | Proxy01 SNAT |
| アクション | SNAT |
| 送信元 IP | プロキシー・サーバー IP |
| 宛先 IP | 任意 |
| 変換済み IP アドレス | NAT IP |
| 有効 | ある |
プロキシー・サーバーのインストールおよび構成
以下の手順では、コンテンツ ライブラリから Squid をホストする Linux VM をデプロイします。 この例では、Windows® VSIがジャンプサーバーとしてプロビジョニングされ、VSIのパブリックインターフェイスへのリモートデスクトッププロトコルがジャンプサーバーへのアクセスに使用されています。
- ディストリビューションのリポジトリからLinuxのISOファイルをダウンロードします。
- vCenter Content ライブラリを設定し、 Linux ISO ファイルを入力します。
- VMを構成し、LinuxとSquidをインストールします。
Linux ISOファイルのダウンロード
ジャンプサーバーのブラウザを使って、必要なLinuxのISOファイルをダウンロードします。
コンテンツ・ライブラリーの構成およびそのライブラリーへの CentOS ISO ファイルの取り込み
ローカルのvCenterコンテンツ・ライブラリを作成します。ライブラリの作成を参照してください。 ライブラリーは、作成された VCF for Classic - Automated インスタンスでのみアクセス可能です。 ライブラリに Linux ISO を入れてください。 コンテンツライブラリにアイテムをインポートするを参照してください。
VMを設定し、 CentOS と Squid
- VMを作成する。 詳細については 、「新しい仮想マシンウィザードで仮想マシンを作成する 」を参照してください。
Content Library ISO Fileオプションを使用して、VMのCD/DVDドライブにISOをアタッチします。 詳細については 、「仮想マシンの CD または DVD ドライブを追加または変更する方法」 を参照してください。- Linux を、Linux ディストリビュータが提供する指示に従ってインストールします。
- Squid をインストールする。 Squid のインストールは、Linux ディストリビューションによって異なります。 以下のコードはあくまでも例として使用してください:
yum -y update
yum -y install epel-release
yum -y update
yum clean all
yum -y install squid
systemctl start squid
systemctl enable squid
systemctl status squid
firewall-cmd –add-port=3128/tcp –permanent
firewall-cmd –reload
VUM の初期セットアップ
プロキシーを使用するための VCSA の構成 詳細については、DNS、IPアドレス、プロキシの設定を参照してください。