2017年4月19日水曜日

VCP-NVのすすめとメリットをご紹介

今日は、VCP-NVの取得メリットについて自分の経験を交えてご紹介をしたいと思います。

私自身、プリセースルという立場のため、NSXに興味があるとか、NSX導入したメリットを知りたいというお客様に対して、どのようにNSX for vSphereを導入するとメリットがあるかや、正しいインプリメント(導入)のお手伝いをすることが仕事だったりします。

NSX for vSphereは、ネットワークの仮想化という言葉でひとくくりにされてしまうことが多いですが、VXLANによるデーターセンター間のL2延伸や、分散ファイアーウォールによるマイクロセグメンテーション、Edge Service Gatewaが提供する高度なロードバランサー機能(ADC)やSSL-VPNなどの様々な機能を持ち合わせており、単純にNSXを導入ししたいというお客様にとっても、どの機能を使いたいかでエディションを含め大きく変わることがありますし、提案する側としては、幅広いNSX for vSphereの機能を一通り把握しておく必要があります。
NSXは、様々なコンポーネントがありますが、実際の導入作業においては、あまり意識せずとも導入できてしまうというのが実情です。ただ、トラブルや想定していない事項が発生した際には、このコンポーネントの詳細な動作を理解しておく必要があり、この理解具合を確認するという観点においてもVCP-NVは大変有益なものと私自身思っています。

私自身は、VCP-NVを取得する形で、NSX for vSphereの機能や特にVX-LANのメリットや導入時の注意点を習得することができました。

VX-LANによるネットワークのL2延伸は、大変魅力的ですが、このVX-LANには、既存の物理ネットワークに対して極力影響をなくし、仮想的なネットワークを作成し、マルチテナントや場所的な問題を解決するためのソリューションですが、VX-LANを実際に導入するために、あらかじめ押さえておくべき事項がいくつかあります。

このあたりの実践的な導入における注意点が、VCP-NVの問題としてよく登場しますので、VCP-NVを取得またVCP-NV取得へ向けての学習をすることで、VXLANの根本やUWA役割などの、NSXのコンポーネントと役割をしっかりと学習することができます。

これは、NSXを導入後におけるトラブルにおいても非常に有効です。

実際にNSX導入後においてトラブル相談を受けるケースもありますが、その際に必要なことは、VTEPの動作とNSX Controllerの動きをしっかりと理解していれば、なにも難しいことではないのですが、このあたりの理解や動きを習得するためには、VCP-NV取得に向けての勉強は大変に役立ったと感じています。

また、NSXにおいては、分散スイッチの導入が基本必須となりますが、分散スイッチのメリットをわかりつつも標準スイッチで構成されている現場を多く見ますが、NSXを学習すると、vDSの機能やメリットも今一度おさらいすることができます。VCP-DCVにおいては、vDSの概要は少ししか触れられませんが、VCP-NVにおいては、vDSの内容もしっかり出てきますので、vDSがより身近になると思います。

また、今まで仮想化を中心としたサーバーエンジニアにとっても、ネットワークという基礎概念とネットワークの仮想化を学ぶ大変良い材料になると思います。

ぜひ、仮想ネットワークの世界に踏み出す一歩として、VCP-NVの取得にチャレンジをされてみてはいかがでしょうか?



2017年4月2日日曜日

Windows10のSysprep時注意点

世間では、Windows10も一般化し企業での導入も普及期に入りWin7からの移行のケースも増えてきたかと思います。
Windows10には、様々なエディションが有りアップデートプログラムの適用について、様々なパターンを選ぶことができるようになっています。

さて、Windows10で一般的なVLKイメージで展開する際に、まずゴールドイメージにWindows Updateを施した後に、Horizon View側で展開の設定を行うかと思います。
この際に、Sysprep経由での展開時に失敗することがあります。

実際に手動でWindows10のゴールドイメージにsysprepをかけようとしても、以下のようなエラーが出て正しくsysprep自体が動作しません。
 

実際に、C:\Windows\System32\Sysprep\Panther\setupact.logを見ると以下のようなエラーが出ています。

2017-04-02 16:25:16, Error SYSPRP Package Microsoft.MicrosoftSolitaireCollection_3.9.5100.0_x64__8wekyb3d8bbwe was installed for a user, but not provisioned for all users. This package will not function properly in the sysprep image.
2017-04-02 16:25:16, Error SYSPRP Failed to remove apps for the current user: 0x80073cf2.
2017-04-02 16:25:16, Error SYSPRP Exit code of RemoveAllApps thread was 0x3cf2.
2017-04-02 16:25:16, Error [0x0f0082] SYSPRP ActionPlatform::LaunchModule: Failure occurred while executing 'SysprepGeneralizeValidate' from C:\Windows\System32\AppxSysprep.dll; dwRet = 0x3cf2
2017-04-02 16:25:16, Error SYSPRP SysprepSession::Validate: Error in validating actions from C:\Windows\System32\Sysprep\ActionFiles\Generalize.xml; dwRet = 0x3cf2
2017-04-02 16:25:16, Error SYSPRP RunPlatformActions:Failed while validating SysprepSession actions; dwRet = 0x3cf2
2017-04-02 16:25:16, Error [0x0f0070] SYSPRP RunExternalDlls:An error occurred while running registry sysprep DLLs, halting sysprep execution. dwRet = 0x3cf2
2017-04-02 16:25:16, Error [0x0f00d8] SYSPRP WinMain:Hit failure while pre-validate sysprep generalize internal providers; hr = 0x80073cf2

さて、これはWindows Updateによりストアアプリの変更がおこなわれてしまうことによる弊害のようです。

実際には以下の情報が参考になります。

(参考)Windows 10 (バージョン 1511) における Sysprep 実行時の注意点
https://blogs.technet.microsoft.com/askcorejp/2015/12/20/windows-10-1511-sysprep/

こちらの中で紹介があるとおり、グループポリシーの変更行うことで対応が可能なようです。
私が検証する限り、1611ビルドのWindow10 Proのメディアに対して、Windows Update後に以下の対応を行ってもsysprepは成功しましたので、誤ってWindows Updateをかけてしまった後でもマスターの再作成は不要だと思います。


では回避法の手順を、おさらいしておきましょう。
※グループポリシーといえども、今回はClientOSのマスターであるためドメインに参加する前と考え、AD側での適用ではなく、クライアントOS本体のポリシー(ローカルコンピューターポリシー)を変更します。

1.まずは、該当のWindows10 Clientからファイル名を指定して実行をクリックします。

2.実行アプリケーションに「gpedit.msc」を入れて起動します。


3. [ローカルコンピューターポリシー]→[Windows コンポーネント]→[クラウド コンテンツ]の順にツリーを奨めていきます。

4.「Microsoft コンシューマー エクスペリエンスを無効にする」をダブルクリックします。

5.オプション選択画面が表示されますので、「有効」を選択し、OKをクリックします。

6.パラメーターが有効になっていることを確認し、ローカルグループポリシーエディタを終了します。

7.最後にコマンドプロンプトから「gpupdate」を実行し、ポリシーを反映させます。

これで、完了です。
この後は、sysprepを実行すると、正常に処理が完了します。

Horizon Viewのマスターとして利用する際に、Quickprepではなく、Sysprepを利用する場合は、あらかじめこの作業を行っておきましょう。





2017年4月1日土曜日

VCP6-NV 取得の薦め その2

前回は、VCP6-NVを取得するためのプロセスをご紹介しました。


では、実際にVCP6-NVを取得するためにはどのような勉強をすればよいのでしょうか?

一応ですが私もVCP6-NVホルダーですので、資格取得までのことをお伝えしたいと思います。


私自身も当然ながら仕事の中でVMware NSXを扱うことが多く、さすがに無免許では・・・と思いながら取得したのが、私の受験の理由だったりしますが。
(昔からそうですが試験というのはあまりうれしいものではないので)


さて、まず問題の傾向ですがVMware NSX for vSphereという製品自体が、かなり多くの機能が実装されているので、その基本機能や機能実装についてはある程度頭に入れておく必要があるでしょう。また、NSXの特徴でもあるネットワーク仮想化機能はしっかりと押さえておきましょう。
VXLANについては詳細に動きを把握することや、DLRによるルーティングの動作なども押さえておきましょう。

ここで大事なことは、NSXは、vSphere上で動作するネットワーク仮想化製品であるということです。NSXを利用する上で必要不可欠な分散スイッチ(vDS)やvmkernelなどのvSphereの基本を押さえておかないと、うわべだけの机上だけのVXLANスキルだけだと、おそらく難しいのではないかと思います。

ネットワーク全体の設計スキルも問われますが、NSXにおける制限事項等も押さえておく必要があります。

とはいえ、実際に触る機器もないケースが多いでしょうから、是非VMwareのHands On Laboを利用して、思いっきりさわり倒すことがまず大事だと思います。


では、VCP6-NVを取得するまでの押さえておきたいプロセスをまとめておきます。

<その1>
Hands On Laboをさわりたおして、動きや操作手順、感覚を学ぶ
おすすめコース
HOL-1703-SDC-1 - VMware NSX: Introduction and Feature Tour


<その2>
リリースノートとドキュメントを読んで、制限事項やアップグレードの制限、操作手順などの条件を確認する


<その3>
基本的なネットワークのスキルを身につける。
スイッチ+ルーティングはもちろん、ダイナミックルーティングやVPNの仕組み(特にIPSEC)、ネットワークの基本設計(Leaf & Spineの考え方や、North - South通信とEast - West通信など)

<その4>
もし、VMware Partner Network(VPN)に加盟している会社に所属している場合は、Partner Centralから、VSP-NVとVTSP-NVをあらかじめ取得しておく。(ここで結構基本的なスキルが取得できます)

<その5>
体調を整えて、試験に臨む。



ちなみに試験は500万点中300点合格(6割)です。
問題ごとに点数が異なるため1問何点という配分は、わかりません。
問題は選択式で、複数の回答を求めるもののほうが得点配分が高く、制限事項等をもとめるような単一の回答は得点配分が低いという話を聞いたことがあります。

上記の手順をしっかり行っておけば、すくなからず合格点には行けると思います。


新年度で新しいことを始めたりチャレンジしたいと思う時期ですので、是非、VCP6-NVにチャレンジしてみてください!









VCP6-NV 取得の薦め その1

4月に入り新入社員が入ることもあり、インフラ系のSEさんにとっては資格という一つのチャレンジに向かう人も増える季節かと思います。
以前に、VMwareの資格試験についてご紹介をしました。

(参考)VMwareにおける認定資格について(1)
http://infratraining.blogspot.jp/2015/12/vmware1.html

VMwareにおける資格として、一般的に登竜門的な扱いになっているのが「VCP」です。
VCPホルダーであれば、仮想化に対して、頭でっかちの机上だけのスキルではなく、手を動かしている実践的なスキルを持ったエンジニアと見られるのが、世間一般のSE会社から見た扱いになると思います。

このVCPには、プロダクトごとにジャンルが分かれています。
そこで、私のお勧めするジャンルは「Network Virtualization」です。

通常VCPの試験を受けるためには、Install, Configure, Managerd(ICM)のトレーニング(1週間で約40万円程度)を受講後、2段階の試験受ける必要があり、コスト的にも少々ハードルが高い側面があります。


しかし、CCNA、CCNP、CCIEをすでにお持ちであれば、 ICMのトレーニングをスキップすることが可能になります。ネットワークの勉強をするために、CCNAを取得される方も多くいるかと思いますが、CCNAを持っておけば、VCP-NVの取得もハードルが下がるという事実があります。

詳細はこちらを参考にしてください。
https://mylearn.vmware.com/mgrReg/plan.cfm?plan=64294&ui=www_cert

では、取得のプロセスもまとめておきましょう。


 ◆新規でVCP-NVを取得する場合
順序条件コース・試験名日数価格(1名)
1必須NSX Install, Configure, Managed[6.2]5$4,125
2必須vSphere6 Foundation Exam-¥10,560
3必須VCP6-NV (VCP6-Network Virtualization 試験)-¥20,120



◆すでに有効なCiscoの資格を保有している場合
順序条件コース・試験名日数価格(1名)
1必須CCNA Data Center / CCNA Routing & Switching
CCNP Data Center / CCNP Routing & Switching
CCIE Data Center / CCIE Routing & Switching
--
2必須vSphere6 Foundation Exam-¥10,560
3必須VCP6-NV (VCP6-Network Virtualization試験)-¥20,120


次回は、VCP-NVの勉強のコツなどをお伝えしたいと思います。




2017年2月12日日曜日

NSX for vSphere 6.3リリース

ついにNSX for vSphere6.3(以下NSX)がリリースされました。
今回のリリース最大の魅力はなんと言っても、vSphere6.5の対応ですが、それ以外にもなにげに凄い機能がいろいろ入っています。

リリースノートをベースにご紹介をしたいと思います。

<機能強化>
・ コントローラー切断操作(CDO)モード:コントローラー切断操作(CDO)モード
NSXコントローラーとの接続が失われても、VXLAN等のデータープレーンに影響を与えない機能強化となるようです。

・Closs vCenter NSXアクティブ - スタンバイDFWの拡張機能
Closs vCenter NSXにおける分散FWの機能が強化されています。

・コントロールプレーンエージェント(netcpa)自動回復
netcpaのプロセス監視を行い、自動起動処理を行います。また、再起動時はsyslogにてログの出力が行われます。

・vSphere6.5の対応
これは、見たままですね。


<準拠>
・FIPSへの対応
REST APIをコールすることで、、FIPSおよびCommon Criteria標準に準拠した暗号スイートのみを使用する可能。

・NSXはEAL2 +保証レベルに準拠、ICSAに準拠
セキュリティ製品でよく見るICSAにNSXは対応したようです。また、ICSAに準拠するため、分散FWのログ出力形式が変更になったと記載があります。



<サービスとルーティングの強化>
・BGPの4バイトASNサポート

・NAT機能の拡張
一致基準は、プロトコル、送信元IP、送信元ポート、宛先IP、宛先ポートの5つのパラメータに基づくように変更。それに伴いUIも変更。(これは、NSX Edge Service Gateway(ESG)に適用されます)

・レイヤ2 VPNのパフォーマンスの向上
1つのEdgeアプライアンスで最大1.5 Gb/sのスループットをサポートできます。これは、以前の750 Mb/sからの改善となります。(これは大きいですね)

・OSPFの改善
OSPFを設定する際、NSSAはすべてのタイプ7 LSAをタイプ5 LSAに変換できます


<セキュリリティ強化>
・分散ファイアーウォールにおけるセッションタイムアウト
セッションタイマーがNSX6.3から導入されます。これは、利用するアプリケーションによっては注意が必要です。

・マイクロセグメンテーションの強化
アプリケーションマネージャーを利用した自動ファイアーウォールルールの作成、エンドポイントモニタリングによるネットワーク接続プロセスの特定

・ゲストイントロスペクションのLinuxサポート
エージェントレスのウイルス対策に、なんとLinux OSがサポート!!
ただし、利用できるOSは、「RHEL7 / Suse ES 12 / Ubunts 14.0.4」に制限されています。

・Service Composerのステータス情報の表示

・NSX6.3が、vCloud Director 8.2に対応


<インストールとアップグレード>
・NSXカーネルモジュールはESXiバージョンとは無関係になりました。
これで、今後バージョンアップ時にはESXi再起動の回数が減ると思います。

・ホスト上での再起動なしのアップグレードとアンインストール
vSphere 6.0以降では、NSX 6.3.0にアップグレードすると、それ以降のNSX VIBの変更は再起動する必要はありません。

・OVFパラメータがカンマ区切りに対応
DNSサーバー、ドメイン検索リスト、NTPサーバリストが、カンマ区切りで複数のパラメーターを入れられるようになりました。

・NSX6.3の対応ESXi
ESXi5.5 Update3、 ESXi6.0 Update2、ESXi6.5がサポートになります。
どのESXiも最新パッチが適用されていることが条件になっていますので注意が必要です。


アップグレード時の注意事項もかなりたくさん記載されていますので、是非NSX6.3を利用する前にリリースノートを読まれるとよいかと思います。

(参考)
NSX for vSphere 6.3 リリースノート










2017年2月11日土曜日

vRealize Operationsで、OSIライセンスを上手に(節約)使う方法

vRealize Opeations(vROps)は、vSOMやCPUライセンスで購入していない場合、25OSI(OS Instance)単位での購入となります。
仮想環境内だけで、vROpsをOSIライセンスで利用する場合、管理監視対象にしたい仮想マシンとしたくない仮想マシンが同じvCenter Serverで管理されている場合、不要にOSIライセンスが消費されるといった問題が生じます。


vROpsのライセンスの画面を見ると保有ライセンスに対してvROpsで監視されている仮想マシン台数が表示されています。

では、管理監視をvROpsで行う必要がない仮想マシンまでもライセンスを手配するとなるとコスト的な問題が出てくることがあります。

vROpsは、きちんとこのあたりのことを考えており、vROpsの監視対象から外す機能が存在しています。それは、関連ライセンスグループの機能を利用します。

まずは、ライセンスのメニューから「ライセンスグループ」を選択し、既存のライセンスグループを編集するか新規で作成します。

適用するフィルターを入れたいライセンスキーを選択します。

ここで、仮想マシン名の条件を設定することができます。

この後サマリーが表示されますので確認後、完了をクリックします。
これで、条件に入れたオブジェクトが除外されるはずです。

OSIライセンスを上手に使いたい場合、この方法をうまく使うことでライセンスを節約することが可能です。







2017年1月28日土曜日

vSOMとvRealize Operationsのライセンス改定について

vSphereとvRealize Operations(vROps)がセットになったvSOMというライセンス製品は、すでにご存知の方も多いと思います。
昨年に、この辺りのライセンス体系が変更になっていますので、今日はこの辺りを改めてご紹介したいと思います。

■vSOMについて
従来、vSOMには、Standard、Enterprise、Enterprise Plusという選択肢がありました
このエディションは、vSphereのエディションであり、どのエディションを手配してもvRealize OperationsのライセンスはStandardであるというのが従来までの注意点でした。ただ、vSpehreのライセンス改定が行われ、StandardとEnterprise Plusだけになったこともあり、vSOMは、vSphere Enterprise Plus と vRealize Operations Standardの一択になりました。
この点は、注意が必要です。


■vRealize Operations単体のライセンス体系増加
vSOMは、CPU単位での手配となるため、利用できるvRealize Operationsも、そのESXiが稼働する物理CPUに紐づくライセンスでした。
一方で、vRealize Operationsは、25OSI(OS Instanceの略で物理もしくは仮想マシンを1とカウント)単位であり、CPUライセンスとして手配することができないという特徴がありました。
この場合、vRealize Operations Standardを利用したいケースで高集約な環境の場合、vSOMの方が割安になるケースがありましたが、昨年のライセンス体系変更で、vRealize Operations Standardおよび、Advancedは、CPUライセンスでの提供が開始されました。
VMwareのホームページ上には、「Standard」のみがCPUライセンスで販売されるような記載がありますが、そののち、「Advanced」もその対象になったようです。

実際に、VMwareのサイトでダウンロードできるデーターシートには、ライセンスの形態として、vRealize OperationsのStandardとAdvancedにて、CPUライセンスが提供される記載があります。


(参考)vRealize Operationsのデーターシート


今まで、vRealize Operationsの良さは理解していても、OSI単位のライセンスで手が届かなかった方にもこの機会に、検討してみるのもよいかもしれません。