Oracle Cloud Infrastructureドキュメント

VMware Solution Management Applianceのインストール

VMware Solution Management Applianceをインストールします。

管理アプライアンスをインストールする前に、次のものが必要です。
SDDCを作成し、サービス・ゲートウェイを設定した後、vCenterシステム・ユーザーを作成し、ユーザーの資格証明をOCI Vaultシークレットとして格納します。管理アプライアンスでは、特定の操作を実行するには、次のタイプのユーザーの資格証明へのアクセスが必要です。
  • vSphere管理者: 管理権限を持つvSphereユーザー。このユーザー・タイプは、管理アプライアンスのプロビジョニングおよび終了時にvSphereプラグインを登録および登録解除するために使用されます。管理アプライアンスが新しいバージョンでアップグレードされたときに、vSphereプラグインの再登録にも使用されます。SDDCのプロビジョニング中に作成されたadministrator@vsphere.localユーザーを使用します。
  • OCVSシステム・ユーザー: ESXiホスト・メトリックへのアクセスに使用される読取り専用権限を持つvSphereユーザー。vCenterを使用して、ocvssystem@vsphere.localという専用ユーザーを作成します。
  • NSX管理者ユーザー: Management Applianceにより、新しいESXiホストが追加される際に、NSX操作を実行するユーザーが。SDDCのプロビジョニング中に作成されたNXS adminユーザーを使用します。

vSphere管理者およびNSX管理ユーザーは、すべてのSDDCに対してすでに作成されているため、すでに資格証明を持っている必要があります。OCVSシステム・ユーザーは、後述するように手動で作成する必要があります。

次の変数のセキュリティ・ポリシー設定の次のステップで使用されるため、ボールト・シークレットのOCIDsを記録します:

  • <administrator_secret_ocid>
  • <ocvssystem_secret_ocid>
  • <nsx_admin_secret_ocid>

サービス・ゲートウェイの構成

操作中に管理アプライアンスがOCIサービスに到達するには、サービス・ゲートウェイ・アクセスが必要です。これにより、アプライアンスは状態をOCIにレポートし、メトリックをエクスポートし、SDDCリソースの読取り/更新を行い、その他の操作を実行できます。

すでにサービス・ゲートウェイがある可能性があります。サービス・ゲートウェイが正しく構成されていることを確認するには、次のステップに従います:

  1. SDDCに関連付けられたVirtual Cloud Network (VCN)を開き、「ゲートウェイ」セクションに移動します。
  2. 「サービス・ゲートウェイ」セクションまでスクロール・ダウンし、サービス・ゲートウェイが存在するかどうかを確認します。
  3. 1つ以上のサービス・ゲートウェイが存在する場合は、「サービス」列をチェックして、ゲートウェイが「Oracle Services Networkのすべてのサービス」に設定されているかどうかを確認します。そのサービス・ゲートウェイの名前を書き留めます。
  4. サービス・ゲートウェイが存在しないか、Oracle Services Networkに「すべての<region-id>サービス」が含まれていない場合は、新しいサービス・ゲートウェイを作成します。
    1. 「サービス・ゲートウェイの作成」を選択します。
    2. 「Service Gateway 1」や「SGW」などの名前を入力します。
    3. コンパートメントを選択します。SDDCまたはVCNと同じコンパートメントを使用することをお薦めしますが、これは設定によって異なる場合があります。
    4. 「サービス」リストで、「Oracle Services Networkのすべての<region-id>サービス」を選択します。
    5. 「サービス・ゲートウェイの作成」を選択します。
  5. VCNで、「サブネット」セクションを開き、管理クラスタのESXiホストが存在するサブネットを見つけます。通常、Subnet- 接頭辞が付いていますが、ネーミングが異なる場合があります。
  6. サブネットの詳細を開き、関連付けられたルート表を見つけます。
  7. 「ルート表」の詳細を開きます。
  8. 「ルート・ルール」セクションに移動します。
  9. ルート・ルール表で、次の設定を使用してルールが存在することを確認します。
    • ターゲット・タイプ: サービス・ゲートウェイ
    • 宛先: Oracle Services Network内のすべてのサービス
  10. そのようなルールが存在しない場合は、次のルールを追加します。
    1. ルート・ルールの追加を選択します。
    2. 「ターゲット・タイプ」を「サービス・ゲートウェイ」に設定します。
    3. 「Destination Service」を「All Services in Oracle Services Network」に設定します。
    4. ステップ3で書き留めたか、ステップ4で作成したターゲット・サービス・ゲートウェイを選択します。また、コンパートメントが存在するコンパートメントを選択する必要がある場合もあります。
    5. 説明を入力します。たとえば、「ESXiホスト・サブネットからすべてのOCIサービスへのアクセス」です。
    6. ルート・ルールの追加を選択します。

vCenterシステム・ユーザーの作成

この項では、ocvssystem@vsphere.localユーザーを作成し、構成します。
  1. vSphereにサインインします。OCIコンソールから、SDDCの詳細ページに移動し、vSphereクライアント・リンクを選択します。Administrator@vsphere.localユーザー(または他の権限を持つユーザー)でサインインします。
  2. 次のステップに従ってユーザーを作成します。
    1. 「管理」で、「ユーザーとグループ」に移動し、「シングル・サインオン」を選択します。
    2. 「ユーザーとグループ」で、「ユーザー」タブを選択します。
    3. vsphere.localドメインを選択し、「追加」を選択します。
    4. 「ユーザーの追加」ダイアログで、「ユーザー名」「パスワード」および「パスワードの確認」の情報を入力します。「説明」はオプションですが、このユーザーの目的を指定することをお薦めします。
  3. 次のステップを実行して、ユーザー・ロールを作成します。
    ノート

    使用するロールがすでにある場合は、このステップをスキップできます。
    1. 「管理」で、「ロール」に移動し、「アクセス制御」を選択します。
    2. VSPHERE.LOCALロール・プロバイダを選択し、「新規」を選択します。
    3. 「新規ロール」パネルで、「ロール名」を指定します。「説明」はオプションですが、このロールの目的を指定することをお薦めします。
    4. 「権限」表で、vCenterバージョンに基づいて必要な権限を割り当てます。
      • vCenterサーバー7:
        • カテゴリ: セッション → 権限: セッションの検証
      • vCenterサーバー8:
        • カテゴリ: セッション → 権限: セッションの検証
        • カテゴリ: ホスト → グループ: 統計 → 権限: 問合せ

      この権限をESXiホスト・リソースに正しく伝播するには、「子に伝播」を選択する必要があります。

  4. 次のステップに従って、「グローバル」権限を作成します(ユーザーにロールを割り当てます)。
    1. 「管理」で、「アクセス制御」に移動し、「グローバル権限」を選択します。
    2. VSPHERE.LOCAL権限プロバイダを選択し、「追加」を選択します。
    3. 「権限の追加」→「グローバル権限ルート」で、vsphere.localドメイン、ユーザーおよび作成したロールを選択します。

      この権限をESXiホスト・リソースに正しく伝播するには、「子に伝播」を選択する必要があります。

  5. 新しいユーザーをテストします。vSphereクライアントからサインアウトします。新しいocvssystem@vsphere.localユーザーを使用して、vSphereにサインインします。vCenterインベントリで、ESXiホストを選択できることを確認します。「モニター」タブで、ESXiホストのメトリックを表示できることを確認します。
  6. vSphereからサインアウトします。

ユーザー資格証明を使用したVaultシークレットの作成

シークレットを作成する場合は、「暗号化キー」の下の「手動シークレット生成」オプションを選択します。

「シークレット・タイプ・テンプレート」の下の「プレーン・テキスト」を選択します。手順については、Vaultシークレットの管理を参照してください。

シークレットには、JSON形式のユーザー名とパスワードが含まれている必要があります:

  • administratorユーザー・シークレット:
    {
  "username":"administrator@vsphere.local",
  "password":"<password>"
}
  • ocvssystemユーザー・シークレット:
    {
  "username":"ocvssystem@vsphere.local",
  "password":"<password>"
}
  • nsx_adminシークレット:
    {
  "username":"admin",
  "password":"<password>"
}

ocvssystemユーザーにここにリストされているものとは異なる名前を付けた場合は、usernameフィールドで作成した名前を使用します。

VaultシークレットのOCIDsは、次のステップで次の変数のセキュリティ・ポリシー設定に使用されるため、覚えておいてください。

<administrator_secret_ocid>

<ocvssystem_secret_ocid>

<nsx_admin_secret_ocid>

IAM動的グループおよびポリシーの作成

  1. 次の情報を取得します。各値は、次のステップで、表に示すように対応する変数とともに表されます。
    変数
    <sddc_compartment_name> SDDCコンパートメント名。
    <sddc_compartment_ocid> SDDCコンパートメントOCID。
    <administrator_secret_ocid> 管理者ユーザー・シークレットのOCID。
    <ocvssystem_secret_ocid> ocvssystemユーザー・シークレットのOCID。
    <nsx_administrator_secret_secret_ocid> nsx_adminユーザー・シークレットのOCID。
  2. 動的グループを作成するには、次の文を使用します。<sddc_compartment_ocid>を、前のステップで取得したコンパートメントの実際のOCIDに置き換えます。詳細は、動的グループの作成を参照してください。 
    Any {resource.type = 'managementagent', resource.compartment.id='<sddc_compartment_ocid>', instance.compartment.id = '<sddc_compartment_ocid>'}

    次のステップで使用する動的グループ名に注意してください。

  3. 次の文を使用して、動的グループの権限を作成します。<resource_principal_dynamic_group_name>および<instance_principal_dynamic_group_name>を、前のステップで作成した動的グループの名前に置き換えます。<sddc_compartment_name>を、前のステップで取得した対応する実際の情報に置き換えます。これらの権限は、管理アプライアンスのシステム・ユーザーによって使用されます。
    重要

    ルート・コンパートメント(テナンシ・レベル・コンパートメント)にポリシーを作成します。

    ポリシー・サブジェクト(ユーザー、グループ、動的グループ)がデフォルト以外のアイデンティティ・ドメインにある場合は、サブジェクトにドメイン名の接頭辞を付けます。デフォルト・ドメインのサブジェクトには接頭辞は必要ありません。詳細は、サブジェクトを参照してください。

    Allow dynamic-group <resource_principal_dynamic_group_name> to read compartments in tenancy
Allow dynamic-group <resource_principal_dynamic_group_name> to read tag-namespaces in tenancy
Allow dynamic-group <resource_principal_dynamic_group_name> to read instances in compartment <sddc_compartment_name>
Allow dynamic-group <resource_principal_dynamic_group_name> to read compute-capacity-reservations in tenancy
Allow dynamic-group <resource_principal_dynamic_group_name> to read vnics in compartment <sddc_compartment_name>
Allow dynamic-group <resource_principal_dynamic_group_name> to read vnic-attachments in compartment <sddc_compartment_name>
Allow dynamic-group <resource_principal_dynamic_group_name> to read subnets in compartment <sddc_compartment_name>
Allow dynamic-group <resource_principal_dynamic_group_name> to {SDDC_INSPECT, SDDC_DATASTORE_INSPECT, SDDC_DATASTORE_CLUSTER_INSPECT, SDDC_MANAGEMENT_APPLIANCE_INSPECT, SDDC_READ, SDDC_DATASTORE_READ, SDDC_DATASTORE_CLUSTER_READ, SDDC_MANAGEMENT_APPLIANCE_READ, SDDC_MANAGEMENT_APPLIANCE_UPDATE} in tenancy
Allow dynamic-group <resource_principal_dynamic_group_name> to manage sddc-management-appliance-internal in compartment <sddc_compartment_name>
Allow dynamic-group <resource_principal_dynamic_group_name> to read volume-family in compartment <sddc_compartment_name>
Allow dynamic-group <resource_principal_dynamic_group_name> to read vaults in tenancy
Allow dynamic-group <resource_principal_dynamic_group_name> to read keys in tenancy
Allow dynamic-group <resource_principal_dynamic_group_name> to read secret-family in tenancy where any {target.secret.id='<administrator_secret_ocid>', target.secret.id='<ocvssystem_secret_ocid>', target.secret.id='<nsx_admin_secret_ocid>'}
Allow dynamic-group <instance_principal_dynamic_group_name> to use metrics in compartment <sddc_compartment_name> where target.metrics.namespace='oci_computeagent'
  4. 管理アプライアンスを作成するユーザーのアクセス権を設定するには、次のポリシーを使用します。

    テナンシ内のすべてのリソースに対するアクセス権が管理者にある場合は、このステップをスキップできます。

    これらの権限を管理する必要がある場合は、管理ユーザーが属するグループがあり、そのグループに次の権限を付与する必要があると想定します。<user_group_name>をユーザー・グループの名前に置き換え、<sddc_compartment_name>を自分のコンパートメント名に置き換えます。

    Allow group <user_group_name> to manage instance-family in compartment <sddc_compartment_name>
Allow group <user_group_name> to manage virtual-network-family in compartment <sddc_compartment_name>
Allow group <user_group_name> to manage management-agents in compartment <sddc_compartment_name>
Allow group <user_group_name> to manage management-agent-install-keys in compartment <sddc_compartment_name>
Allow group <user_group_name> to manage sddc in compartment <sddc_compartment_name>
Allow group <user_group_name> to manage tag-namespaces in compartment <sddc_compartment_name>
Allow group <user_group_name> to manage tags in compartment <sddc_compartment_name>
Allow group <user_group_name> to manage volume-family in compartment <sddc_compartment_name>
Allow group <user_group_name> to manage vaults in compartment <sddc_compartment_name>
Allow group <user_group_name> to manage secret-family in compartment <sddc_compartment_name>
    ノート

    SDDCおよび管理アプライアンスをルート・コンパートメント(テナンシ)に配置する場合は、in "compartment <sddc_compartment_name>ではなくポリシーに「テナンシ内」フィルタを使用する必要があります。

コンソールを使用したアプライアンスのインストール

  1. コンパートメントを選択し、SDDCを選択します。
  2. 「リソース」で、「管理アプライアンス」を選択します。
  3. 「管理アプライアンスの作成」を選択します。
    「管理アプライアンスの作成」パネルが開きます。
  4. 次の情報を入力します。
    • コンピュート・インスタンス名: 管理アプライアンスをホストするためにテナンシに作成されるコンピュート・インスタンスの名前を入力します。
    • OCIへのメトリック取込み: OCIロギング・サービスへの管理アプライアンス・メトリックの転送を有効にします。
    • vSphere adminユーザー・ボールト・シークレット: 管理者ユーザー用に前に作成したボールト・シークレットのOCIDを入力します。
    • NSX管理ユーザー・ボールト・シークレット: 完全なNSX管理権限を持つユーザーのボールト・シークレットを入力します。管理アプライアンスは、ESXiホストを追加するときに、このユーザーをNXS操作に使用します。不要になった場合は、対応するボールト・シークレットを無効化または削除することで、このユーザーの資格証明へのアクセスをオフにできます。このユーザーは、SDDCの作成時に作成されます。
アプライアンスが作成されると、「管理アプライアンスの詳細」ページに次のステータス更新が表示されます。
  • 状態: アクティブ
  • 状態の詳細: 正常

vSphereプラグインを確認します。

  1. 管理アプライアンスの詳細ページの「状態の詳細」の横で、「詳細の表示」を選択します。
  2. 次のステータス更新を表示して接続性を検証します。
    • vSphere接続: 正常
    • vSphere管理接続: 正常
    • vSphere UIプラグイン登録: 正常