これから VCF Automation (以下、VCFA) 9.0を始める方向けに All Apps 組織の作成方法をまとめました。

今回の内容です。

• 全体像の把握
  • 組織の種類
  • All Apps 組織の要件
• VCF Automation 9.0 ワークフロー
  • ワークロードドメイン
  • NSX Edge
  • vSphere Supervisor
  • VCF Automation プロバイダ管理
  • VCF Automation 組織管理
• まとめ

全体像の把握

VCFA により、IT 部門はアプリケーションチームがすぐに利用可能なセルフサービス型プライベートクラウドを提供できるようになります。
VCFA におけるプライベートクラウドは特定の場所ではなく運用モデルのことを指します。
つまり IT サービスと機能を構築して提供する方法です。

VCFA では、仮想マシンとコンテナの両方を含むすべての IaaS サービスの管理プレーンとして、「vSphere Supervisor」 が導入されています。
マルチテナントモデルはプロバイダと組織 (またはテナント) に分かれており、それぞれの管理者がそれぞれのポータルで機能を使用します。

組織の種類

VCF 9.0で VCFA にはプロバイダ管理機能が追加され、マルチテナント機能が提供されています。

プロバイダ管理では2種類の組織 (Organization) を作成して管理できます。

• Organization for All Applications (All Apps 組織)
  VCF 9.0から登場した、推奨利用モデル
• Organization for VM Applications (VM Apps 組織)
  VCF 9.0未満からある、旧Aria Automation ユーザー向け既存環境継続モデル

これから始める場合は「All Apps 組織」を作成します。

これ以降の内容は全て All Apps 組織について説明しているため、「組織」と記載している場合には All Apps 組織を指します。

All Apps 組織の要件

今回説明する VCFA 環境の全体概要図です。

組織ではプロバイダによって割り当てられたリソースを vSphere 名前空間を介して使用するため、「vSphere Supervisor」が必要です。
マルチテナントにおける組織間の完全な分離を提供するため、「NSX VPC」が必要です。
組織のネットワーク構成は「vSphere Supervisor」や「NSX VPC」をサポートする「中央集中型接続」が必要です。
「中央集中型接続」の構成要件を満たすため「NSX Edge」ノードの展開と NSX Edge Cluster の作成が必要です。

そして、大前提ですが事前に VCF フリートの作成が必要です。
これには VCF Installer によるマネジメントドメインの作成と VCF Operations によるワークロードドメインの作成、さらに VCF Automation 仮想アプライアンスの展開を含みます。

※ VCF フリートの作成についてはこちらをご確認ください。
【VCF/VVF 9.0 構築シリーズ】記事一覧

VCF Automation 9.0 ワークフロー

今回は新規ワークロードドメインに最初のシングルテナント環境を構築するために必要なワークフローとその構成要素を説明します。
このワークフローを通して必須要件を満たした代表的な組織の作成方法を把握できます。

作業範囲の担当分けとしては、これまで仮想化基盤を管理してきた IT インフラ管理者が 「ワークロードドメイン」から「vSphere Supervisor」までを担当します。

「プロバイダ管理」と「組織管理」については、さまざまなケースが想定されます。
IT インフラ管理者が組織作成やプロジェクト作成までを担うことも考えられますが、利用者へITサービスを提供することに主眼を置く VCF Automation の設定作業は IT システム基盤を生業とする IT インフラ管理者の領域を越境しているように感じます。
そのため、IT インフラ管理者とセルフサービスポータルを利用する事業部門との間で、プライベートクラウドサービスを提供するクラウドポータル管理者（あるいはプラットフォームエンジニア）のような人が担当することになるのではないかと考えています。

そして、クラウドポータル管理者がプロジェクトを作成し、プロジェクトにアサインされた事業部門のアプリケーションチームが IaaS サービスを利用するというのが基本的な流れとなります。

ワークロードドメイン

ワークロードドメインは VCFA で提供する IaaS サービスの実行場所として機能します。

VCFA ではワークロードドメインに NSX Edge がデプロイされるため、事前に用意する VLAN 数が増えます。

NSX Edge

最小で2台の NSX Edge ノードのデプロイと NSX Edge クラスタの作成が必要です。
Supervisor で使用するロードバランサに NSX LB を選択するならサイズは Large 以上が必要です。
vSphere Client の「ネットワーク」タブ ＞「ネットワーク接続」＞「ネットワーク接続の構成」のウィザードから設定すると、Supervisor の有効化に必要な設定がすべて完了するためおすすめです。

ポイントは物理ネットワークや VDS を含めたネットワーク設定で、BGP や Edge TEP の MTU などが Failed しやすいため事前準備が重要です。
VPC 接続プロファイルに設定する外部 IP アドレスブロックは VPC の外で使われる IP アドレスのため、既存ネットワークと重複しないように用意する必要があります。
プライベート - Transit Gateway IP アドレスブロックはプライベート VPC サブネットのため、VPC内で使用される IP アドレスです。

参考：実際に VCFA 環境を構築した際の論理構成図です。

参考：実際に VCFA 環境を構築した際のネットワーク一覧と用途です。

vSphere Supervisor

Supervisor とは、物理リソース (CPU、メモリ、ストレージ) を所有し、そのリソースに対してワークロードを実行するコンポーネントです。
組織には1つまたは複数の Supervisor クラスタ (vSphere クラスタ) を登録します。
VCFA ではテナントポータルから vSphere 名前空間を作成し、仮想マシン (VM Service) とコンテナ (Kubernetes) の両方のワークロードをサポートしています。

VCF Automation プロバイダ管理

VCFA の組織作成とリージョンによるリソース割り当てを行うプロバイダ管理者向けポータルです。
手動で設定作業を行うことも可能ですが、IP アドレス空間やプロバイダゲートウェイといったネットワーク設定が、具体的に NSX のオブジェクトや設定とどのように関連しているのか把握できていないと混乱するため、クイックスタートを使用するのがおすすめです。

VCF Automation 組織管理

ユーザーへのセルフサービスポータルを提供します。

組織管理者はプロジェクトを作成し、リソース (名前空間) とアプリケーションチーム (ユーザーやグループ) の紐づけを行います。
ポリシーを適用することで、ユーザーのクラウドエクスペリエンスを妨げずにガバナンスを強化することが可能です。

まとめ

本記事では VCF Automation 9.0 All Apps 組織の作成方法をお伝えしました。

VCF 9.0からの新機能や関連するコンポーネントも多いことから、デプロイするだけでも複合的な知識やスキルが必要となるのが現状かと思います。
一方で VCF によるプライベートクラウドのメリットである、リソース、アプリケーション、サービス構築、運用、利用、保護のモダナイズに直結するため、VCF プラットフォームにおける重要性が高まっていることも確かです。
今後も VCF の中核コンポーネントとして多くのアップデートを期待しています。