多くの企業は、クラウドのスケーラビリティ、復元力、伸縮性、Vertex AI Studio や BigQuery などの上位レベルのサービスを活用するために、VMware クラスタをクラウドに移行したいと考えています。また、資本集約型のハードウェア モデルから、より柔軟な運用費用モデルに支出を移行したいと考えています。企業が Google Cloud ベスト プラクティスに沿った運用環境を迅速に構築できるように、Google Cloud VMware Engine エンタープライズ ブループリントを作成しました。このブループリントは、VM ワークロードをクラウドに移行できるように、エンタープライズ対応の VMware 環境をデプロイするための包括的なガイドを提供します。
VMware Engine は、 Google Cloudで VMware プラットフォームを実行できるフルマネージド サービスです。VMware ワークロードは、 Google Cloudサービスと完全に統合された専用の Google Cloud ハードウェアで動作します。インフラストラクチャ、ネットワーキング、管理は Google が担当します。このブループリントを使用すると、VMware Engine プライベート クラウド、Google マネージド VMware Engine ネットワーク、トラフィックをエンドツーエンドで流すことができる VPC ネットワーク ピアリング接続を含む Google Cloud プロジェクトをデプロイできます。
VMware Engine エンタープライズ ブループリントには、次のものが含まれます。
- VMware Engine プラットフォームのデプロイに必要な Terraform コードと補助スクリプトを含む GitHub リポジトリ
- GitHub リポジトリを使用して実装するアーキテクチャ、ネットワーキング、セキュリティ管理のガイド(このドキュメント)
このブループリントは、VPC ネットワークなどの基本レベルのサービスの基盤で実行するように設計されています。このブループリントの基盤を作成するには、エンタープライズ基盤ブループリントまたは Fabric FAST を使用します。
このドキュメントは、ブループリントを使用してGoogle Cloudに VMware クラスタを構築してデプロイできるクラウド アーキテクト、クラウド プラットフォーム管理者、VMware Engine 管理者、VMware Engine エンジニアを対象としています。このブループリントは、新しい VMware Engine プライベート クラウドの設計とデプロイに重点を置いており、VMware と VMware Engine マネージド サービスについて理解していることを前提としています。
VMware Engine エンタープライズ ブループリントの概要
VMware Engine エンタープライズ ブループリントは、レイヤード アプローチを使用して VMware Engine プラットフォームを有効にします。次の図は、このブループリントのさまざまなコンポーネントと他のブループリントやサービスとの相互作用を示しています。
この図には次のものが含まれています。
- Google Cloud インフラストラクチャは、保存データの暗号化や転送中データの暗号化などのセキュリティ機能とともに、コンピューティングやストレージなどの基本的な構成要素を備えています。
- エンタープライズ基盤は、ネットワーキング、ID、ポリシー、モニタリング、ロギングなどのリソースのベースラインを提供します。これらのリソースを使用すると、組織のアーキテクチャ要件を満たしながら、 Google Cloud を迅速に導入できます。
VMware Engine エンタープライズ ブループリントは、次の機能を提供します。
- VMware Engine ネットワーク
- Google Virtual Private Cloud ネットワーク、API、サービスへのプライベート接続
- VMware Engine プライベート クラウド
- バックアップ機能
- Cloud Load Balancing
- Google Cloud Armor
- ユースケースには、データセンターの移行、データセンターの弾力的な容量拡張、仮想デスクトップ インフラストラクチャ(VDI)、データセンターの障害復旧シナリオなどがあります。
CI/CD パイプラインを使用したデプロイの自動化により、インフラストラクチャのプロビジョニング、構成、管理を自動化するツールが提供されます。自動化により、デプロイの一貫性、信頼性、監査可能性を保証し、手作業による誤りを最小限に抑えて、全体的な開発サイクルを加速できます。
アーキテクチャ
次の図は、VMware Engine エンタープライズ ブループリントがデプロイするアーキテクチャを示しています。
このブループリントでは、次のものがデプロイされます。
- VMware Engine プライベート クラウドを含む スタンドアロン VMware Engine プロジェクトという名前の Google Cloud プロジェクト
- VMware Engine ネットワーク用の Google 管理プロジェクト
- VMware Engine アプリケーションからクライアントにトラフィックを流すための VPC ネットワーク ピアリング接続
VMware Engine プライベート クラウドは、次のコンポーネントで構成されています。
- 管理ツール: ESXi ホストの管理ネットワーク、DNS サーバー、vCenter Server 用の VLAN とサブネット
- バックアップ: ワークロード VM のバックアップ インフラストラクチャ
- 仮想マシン: ワークロード VM
- vCenter Server: プライベート クラウドの vSphere 環境を一元管理するアプライアンス
- NSX Manager: NSX-T ネットワーキング サービスとセキュリティ サービスを構成、モニタリング、管理するための単一のインターフェースを提供します。
- ESXi ホスト: 専用ノード上のハイパーバイザ
- vSAN ストレージ: ソフトウェア定義のハイパーコンバージド ストレージ プラットフォーム
- NSX-T オーバーレイ ネットワーク: ネットワーク仮想化とセキュリティ ソフトウェア
- VMware HCX: データセンターとクラウド間でのアプリケーションの移行とワークロードのバランス調整を行うサービス
VMware Engine ネットワークの概要
VMware Engine ネットワークは、VMware Engine プライベート クラウド、VPC ネットワーク、オンプレミス環境を接続する専用ネットワークです。VMware Engine ネットワークには次の機能があります。
- プライベート クラウド接続: 各 VMware Engine プライベート クラウドは VMware Engine ネットワークに接続され、プライベート クラウド内のワークロード間の通信が可能になります。
- VMware Engine ネットワーク接続: VPC ネットワーク ピアリングを使用して、VMware Engine ネットワークと Google VPC 間の接続を確立できます。この接続により、VMware Engine で実行されるワークロードと Google Cloudの他のサービスで実行されるワークロード間の通信が可能になります。
- オンプレミス接続: ハイブリッド クラウド ソリューションを作成するには、Cloud VPN または Cloud Interconnect を使用して VMware Engine ネットワークをオンプレミス データセンターに拡張します。
- ネットワーク サービス: VMware Engine ネットワークは、次のようなさまざまなネットワーク サービスを使用します。
VMware Engine では、VMware アプリケーション管理サーフェスを使用してワークロード VM を作成して管理する必要があります。Google Cloud は、インフラストラクチャ コンポーネントのパッチ適用とアップグレード、障害が発生したコンポーネントの修復を担当します。
アーキテクチャに関する重要な決定事項
| 決定分野 | 決定 | 決定の理由 |
|---|---|---|
| 基盤 | VMware Engine エンタープライズ ブループリントは、エンタープライズ基盤ブループリント、Fabric FAST、または定義された前提条件を満たす基盤に実装できます。 | エンタープライズ基盤ブループリントと Fabric FAST はどちらも、企業が Google Cloudを導入するのに役立つ基本機能を提供します。 |
| コンピューティング | 特定のリージョンに単一のプライベート クラスタをデプロイすることも、2 つのリージョンに 2 つのプライベート クラスタをデプロイすることもできます。 | 単一のプライベート クラスタ構成により、管理の簡素化と費用の最適化が可能になります。 |
| このブループリントは 1 つのスペアノードをデプロイします。 | 1 つのスペアノードを使用すると、障害、メンテナンス イベント、ワークロードの変動に対応する容量を確保しながら、コストを最小限に抑えることができます。 | |
| バックアップと障害復旧は、Backup and DR サービスを使用して管理されます。 | Backup and DR を使用すると、マネージド サービスを利用して、VMware Engine のデプロイに必要な管理作業を軽減できます。 | |
| ネットワーキング | このブループリントでは、ハイブリッド接続が有効になります。 | ハイブリッド接続を使用すると、オンプレミス環境を Google Cloud 環境に接続できます。 |
| プライベート クラウドは、プライベートでルーティング可能な連続した IP 空間を使用します。 | 連続した IP 空間により、IP アドレス管理が容易になります。IP 空間がルーティング可能である場合、プライベート クラウドはオンプレミス リソースと通信できます。 | |
| インターネット アクセスは Cloud ロード バランシングを介して提供され、Cloud Armor によって保護されます。 | Cloud Armor はワークロードのセキュリティ対策を強化し、Cloud Load Balancing はワークロードのスケーラビリティと高可用性を実現します。 | |
| このブループリントでは、Cloud DNS を有効にします。 | Cloud DNS は、内部名と外部名を解決します。 |
プラットフォームのペルソナ
このブループリントでは、クラウド プラットフォーム エンジニアリング グループと VMware プラットフォーム エンジニアリング グループの 2 つのユーザー グループを使用します。これらのグループの担当分野は次のとおりです。
- クラウド プラットフォーム エンジニアリング グループは、VMware Engine ブループリントの基盤のデプロイとブループリントのデプロイを担当します。
- VMware プラットフォーム エンジニアリング グループは、プライベート クラウドの一部である VMware コンポーネントの構成と運用を担当します。
エンタープライズ基盤ブループリントまたは Fabric FAST にブループリントをデプロイする場合、クラウド プラットフォーム エンジニアリング グループは初期デプロイ プロセスの一部として作成されます。VMware プラットフォーム エンジニアリング グループは、このブループリントの一部としてデプロイされます。
組織構造
VMware Engine エンタープライズ ブループリントは、エンタープライズ基盤ブループリントと Fabric FAST の既存の組織構造に基づいて構築されています。本番環境、非本番環境、開発環境にスタンドアロンの VMware Engine プロジェクトを追加します。次の図は、ブループリントの構造を示しています。
ネットワーキング
VMware Engine エンタープライズ ブループリントには、次のネットワーキング オプションが用意されています。
- VMware Engine プライベート クラウドの単一の共有 VPC ネットワーク
- プライベート クラウド用の 2 つの共有 VPC インスタンス
どちらのオプションも単一リージョンにデプロイされ、オンプレミス環境からのトラフィックを管理できます。
次の図は、単一リージョンの単一の共有 VPC ネットワークを示しています。
共有 VPC インスタンスを分離すると、VMware Engine プライベート クラウドでロジック分離を維持しながら、費用とネットワーク トラフィックを個別のビジネス ユニットにグループ化できます。次の図は、単一リージョン内の複数の共有 VPC ネットワークを示しています。
プライベート クラウド ネットワーク
プライベート クラウド内のネットワーキングは NSX-T によって実現されます。NSX-T は、マイクロセグメンテーション、ルーティング、ロード バランシングなどの高度な機能を備えたソフトウェア定義のネットワーキング レイヤを提供します。VMware Engine ブループリントは、VMware Engine サービスのネットワークを作成します。このネットワークは単一のレイヤ 3 アドレス空間です。ルーティングはデフォルトで有効になっており、リージョン内のすべてのプライベート クラウドとサブネットが追加構成なしで通信できます。次の図に示すように、プライベート クラウドを作成すると、管理サブネット、サービス サブネット、ワークロード サブネット、エッジ サービス サブネットで構成される複数のサブネットが作成されます。
プライベート クラウドを構成するときは、プライベート クラウド、オンプレミス ネットワーク、プライベート クラウド管理ネットワーク、または VPC ネットワーク内のサブネット IP アドレス範囲の他のネットワークと重複しない CIDR 範囲を選択する必要があります。CIDR 範囲を選択すると、VMware Engine はさまざまなサブネットに IP アドレスを自動的に割り振ります。10.0.0.0/24 の CIDR 範囲の例を使用して、次の表に、ブループリントの管理サブネットの IP アドレス範囲を示します。
| サブネット | 説明 | IP アドレス範囲 |
|---|---|---|
| システム管理 | ESXi ホストの管理ネットワーク、DNS サーバー、vCenter Server の VLAN とサブネット | 10.0.0.0/26 |
| VMotion | ESXi ホストの vMotion ネットワーク用の VLAN とサブネット | 10.0.0.64/28 |
| HCX アップリンク | HCX IX(モビリティ)アプライアンスと NE(拡張)アプライアンスがピアに到達して HCX サービス メッシュを作成できるようにするためのアップリンク | 10.0.0.216/29 |
ワークロード VM は NSX-T サブネットに含まれています。NST-T Edge アップリンクは外部接続を提供します。プライベート クラウドの CIDR 範囲のサイズによって、NST-T サブネットでサポートできる ESXi ノードの数が決まります。ESXi ノードは、ストレージ転送に VSAN サブネットを使用します。
次の表は、10.0.0.0/24 の CIDR 範囲に基づく NSX-T ホスト トランスポート サブネット、NSX-T Edge アップリンク サブネット、VSAN サブネットの IP アドレス範囲を示しています。
| サブネット | 説明 | IP アドレス範囲 |
|---|---|---|
| VSAN | VSAN サブネットは、ESXI ホストと VSAN ストレージ クラスタ間のストレージ トラフィックを処理します。 | 10.0.0.80/28 |
| NSX-T ホスト トランスポート | ネットワーク接続を担当する ESXi ホストゾーンの VLAN とサブネット。ファイアウォール、ルーティング、ロード バランシングなどのネットワーク サービスを許可します。 | 10.0.0.128/27 |
| NSX-T Edge アップリンク N(N=1 ~ 4) | NSX-T エッジ アップリンクを使用すると、外部システムは NSX-T ネットワークで実行されているサービスとアプリケーションにアクセスできます。 |
|
サービス サブネットとエッジサービス サブネットの場合、VMware Engine は CIDR 範囲または接頭辞を割り当てません。そのため、CIDR 範囲と接頭辞を重複させないように指定する必要があります。次の表に、サービス サブネットとエッジ サービス サブネットのブループリントの CIDR ブロックを示します。
| サブネット | 説明 | IP アドレス範囲 |
|---|---|---|
| Service-N [N=1-5] | サービス サブネットを使用すると、仮想マシンは NSX トランスポートをバイパスして Google Cloud ネットワークと直接通信できるため、高速通信が可能になります。 |
|
| エッジサービス | ポイント対サイト VPN、インターネット アクセス、外部 IP アドレスなどのオプションの Edge サービスが有効な場合は必須です。範囲はリージョンごとに決まります。 | 10.0.1.0/26 |
ルーティング
オンプレミス ネットワークまたは他の VMware Engine プライベート クラウドから拡張されたネットワークを除き、VMware Engine 内のすべての通信と外部 IP アドレスへの通信は、デフォルトでルーティング(レイヤ 3 経由)されます。このブループリントは、オンプレミスのハイブリッド接続(Cloud VPN または Cloud Interconnect を使用)に関連付けられた Cloud Router を、VMware Engine IP アドレス範囲の概要カスタム アドバタイズ ルートを使用して構成します。NSX セグメント ルートは Tier-0 レベルで要約されます。このブループリントでは、NSX-T DHCP リレーを介して、VMware Engine プライベート クラウドに設定された DHCP サービスへの DHCP サービスが有効になります。
DNS 構成
VMware Engine では、ピアリングされた VPC ネットワーク内のすべての接続された管理アプライアンスに対して、単一の DNS の解決のエンドポイントとして、プロジェクト内の Cloud DNS ゾーンを使用できます。これは、プライベート クラウドが複数のリージョンにわたってデプロイされている場合でも実行できます。
複数のプライベート クラウドや単一のプライベート クラウドのアドレス解決を構成する場合は、Cloud DNS を使用してグローバル アドレス解決を設定します。
デフォルトでは、Cloud DNS が有効になっている VPC ネットワークのいずれかから管理ゾーンを解決できます。
ブループリントで標準の VMware Engine ネットワークにリンクするプライベート クラウドを作成すると、関連する管理 DNS ゾーンが作成され、管理アプライアンスのエントリが自動入力されます。
標準の VMware Engine ネットワークが VPC または別の VMware Engine ネットワークとピアリングされている VPC ネットワークの場合、ブループリントは管理 DNS ゾーン バインディングを自動的に作成します。このゾーン バインディングにより、そのネットワーク上の Google Cloud VM から管理アプライアンスが解決されます。次の図は、Cloud DNS トポロジを示しています。
VMware Engine からインターネットへのアウトバウンド トラフィック
ブループリントには、VMware Engine からインターネットに送信されるアウトバウンド トラフィックに対して次の 3 つのオプションが用意されています。
- お客様のオンプレミス環境経由のアウトバウンド
- VMware Engine インターネット ゲートウェイ経由の下り(外向き)
- 外部 IP アドレスを使用して、お客様の接続された VPC を介して送信する
次の図は、これらのオプションを示しています。
インターネットから VMware Engine へのインバウンド トラフィック
ブループリントには、インターネットから VMware Engine に送信されるトラフィックに対して次の 3 つのオプションが用意されています。
- お客様のオンプレミス環境経由のインバウンド
- Cloud Load Balancing と場合によっては Cloud Armor を使用したお客様の VPC 経由のインバウンド
- 外部 IP アドレスを使用した VMware Engine 経由のインバウンド
次の図は、これらのオプションを示しています。
ロギング
このブループリントを使用すると、ログシンクを使用して、VMware Engine の管理アクションを Cloud Audit Logs に送信できます。VMware Engine 監査ログを分析することで、管理者は不審な動作を特定し、インシデントを調査し、規制要件への準拠を実証できます。
ロギング エクスポートは、セキュリティ情報およびイベント管理(SIEM)システムの取り込みソースとしても機能します。Google は、VMware Engine にサービスを提供する次の取り込み元をサポートしています。
- クラウド ファブリックとアセット テレメトリーを含むホスティング Google Cloud 組織
- VMware サービス コンポーネント
- VMware Engine 内で実行されているワークロード
Google SecOps には、組織のデータを取り込むための自動ログ取り込みパイプラインが組み込まれています。また、転送システムが用意されており、VMware Engine とワークロードから Google SecOps 取り込みパイプラインにストリーミング テレメトリーをプッシュできます。Google SecOps は、コンテキスト コンテンツでテレメトリーを強化し、検索可能にします。Google SecOps を使用すると、セキュリティの問題の発生を検出して追跡できます。
モニタリング
このブループリントは、プライベート クラウドから Cloud Monitoring に指標を転送する Cloud Monitoring 用のスタンドアロン エージェントをインストールします。ブループリントは、VMware Engine リソースとリソース使用率の概要を示す事前定義されたダッシュボードを設定します。VMware vCenter Server には、環境のモニタリングや問題の原因の特定に役立つツールが複数用意されています。これらのツールは、実行中のオペレーションの一部として、また他のモニタリング オプションを補うために使用します。
次の図に示すように、ブループリントは、お客様の VPC にデプロイされたマネージド インスタンス グループを使用して、スタンドアロン エージェントのデプロイを自動化します。エージェントは、VMware vCenter から指標と syslog ログを収集し、Cloud Monitoring と Cloud Logging に転送します。
バックアップ
このブループリントでは、バックアップと DR を使用して、VMware ワークロードにデータ保護サービスを提供します。このサービスは、お客様の VPC にデプロイされたマネージド アプライアンスを使用します。アプライアンスは、限定公開の Google アクセスと WebSocket を介して Google コントロール プレーンに接続されます。バックアップは Cloud Storage に保存され、サービスはきめ細かい復元オプションを提供します。これにより、個々のファイルまたは VM 全体を特定の時点に復元できます。
運用上のベスト プラクティス
このセクションでは、ブループリントのデプロイ後に、環境と要件に応じて実装できるベスト プラクティスについて説明します。
予備ノードを追加する
VMware Engine クラスタは、復元力を確保するために少なくとも 1 つの予備ノードを持つように自動的にサイズ設定されます。スペアノードは vSphere HA の固有の動作です。つまり、このノードはクラスタで使用可能であり、それに応じて課金されます。
メンテナンスの時間枠で容量を保証するために、クラスタにスペアノードを追加できます。この決定により、追加の消費費用が発生する可能性があり、これらのノードは組織によって直接管理されます。
追加したスペアノードは、vSphere クラスタに追加ノードとして表示されます。必要に応じて、スペアノードでワークロードをスケジュールできます。
プライベート クラウドのリソース上限を考慮する
VMware Engine プライベート クラウドには、コンピューティング、ストレージ、ネットワーキング コンポーネントにリソースの上限があります。環境がワークロードの需要に合わせてスケーリングできるように、プライベート クラウドのデプロイ時にこれらの上限を考慮してください。
費用管理オプションを実装する
費用を管理するには、次のオプションを 1 つ以上実装します。
- 確約利用割引(CUD)
- 自動スケーリング
- コア数の上限
- コンピューティング容量のオーバーサブスクリプション
確約利用割引を使用する
CUD では、特定の期間に最小限のリソースを使用することを確約することで、割引料金を利用できるようになります。VMware Engine CUD は、リージョン内の VMware Engine ノードの使用量の合計に適用されるため、手動で変更や更新を行うことなく、予測可能な低料金での利用が可能になります。割引は、サービスが利用可能で、CUD を購入したリージョンの VMware Engine ノードの使用量に適用されます。
自動スケーリングを使用する
VMware Engine では、事前定義されたしきい値とウォーターマークに基づいて、クラスタ内のノードを自動的に追加または削除できます。これらのポリシーは、指定された条件が 30 分以上継続した場合にトリガーされます。vSphere クラスタ(標準または拡張)に自動スケーリング ポリシーを適用または更新する場合は、次の点を考慮してください。
- デフォルトでは、自動スケーリングは無効になっています。クラスタごとに明示的に有効にする必要があります。
- 拡張クラスタでは、ポリシーで指定したノード数がゾーンごとに追加または削除されるため、課金に影響します。
- 多くの場合、コンピューティング、メモリ、ストレージの使用量は独立しているため、複数の指標をモニタリングする自動スケーリングのポリシーでは、ノードの追加に OR ロジックを使用し、ノードの削除に AND ロジックを使用します。
- 自動スケーリングの最大値は、Google Cloud プロジェクトと VMware Engine プライベート クラウドで使用可能な割り当てによって決まります。
- 自動スケーリングを有効にして、ノードを手動で追加または削除することは、相互に排他的ではありません。たとえば、ストレージ容量最適化ポリシーを使用すると、クラスタ上のすべての VM を収容できるほど VM のディスク容量を削減できる場合に、ノードを手動で削除できます。ノードを手動で削除することは可能ですが、自動スケーリングを使用する場合はベスト プラクティスではありません。
コア数を制限する
VMware Engine では、管理者はゲスト OS(VMware Engine 上で実行されている VM)に公開される有効な CPU コアの数を減らすことができます。一部のソフトウェア ライセンス契約では、公開するコア数を減らす必要があります。
VMware Engine のコンピューティング容量をオーバーサブスクライブする
VMware Engine コンピューティング容量のオーバーサブスクリプションは標準的な方法であり、Compute Engine の単一テナントノードとは異なり、追加料金は発生しません。オーバーサブスクリプション比率を高くすると、環境での実際の課金対象ノードの数を減らすことができますが、アプリケーションのパフォーマンスに影響する可能性があります。エンタープライズ ワークロードのサイズを決定する際には、4:1 の比率から始めて、ユースケースに適用される要因に基づいて比率を変更することをおすすめします。
ブループリントをデプロイする
ブループリントは、エンタープライズ基盤ブループリントまたは Fabric FAST にデプロイできます。
ブループリントをエンタープライズ基盤ブループリントにデプロイする手順は次のとおりです。
- エンタープライズ基盤ブループリントをデプロイする。
- VMware Engine エンタープライズ ブループリントをデプロイします。手順については、VMware Engine エンタープライズ ブループリント リポジトリをご覧ください。
Fabric FAST にブループリントをデプロイするには、Fabric FAST リポジトリをご覧ください。Google Cloud VMware Engine ステージ は、VMware Engine エンタープライズ ブループリントをデプロイします。
エンタープライズ基盤ブループリントまたは Fabric FAST を使用せずにブループリントをデプロイする
エンタープライズ基盤ブループリントまたは Fabric FAST を最初にデプロイせずにブループリントをデプロイするには、環境に次のリソースが存在することを確認します。
development、nonproduction、productionフォルダを含む組織階層- 各フォルダの共有 VPC ネットワーク
- VMware Engine プライベート クラウドに必要な IP アドレス範囲を考慮する IP アドレス スキーム
- VMware Engine プライベート クラウドの DNS メカニズム
- セキュリティ ポスチャーに沿ったファイアウォール ポリシー
- 内部 IP アドレスを使用して Google Cloud APIs にアクセスするメカニズム
- オンプレミス環境との接続メカニズム
- セキュリティと監査のための一元的なロギング
- セキュリティ ポスチャーに沿った組織のポリシー
- VMware Engine のデプロイに使用できるパイプライン
次のステップ
- VMware Engine について読む。
- VMware VM インスタンスをプライベート クラウドに移行する方法を確認する。
- コンピューティングのベスト プラクティスを読む。
- ネットワーキングのベスト プラクティスを読む。
- VMware Engine のセキュリティのベスト プラクティスを読む。
- ストレージのベスト プラクティスを読む。
- 費用のベスト プラクティスを確認する。
- VMware から VMware Engine ページにアクセスします。