Azure VMware Solution by CloudSimpleとは

 

Azure VMware Solution by CloudSimple(以下AVS)を端的に言えば、vSANストレージ構成済みのvSphereクラスタがvCenterとともにAzure上に数クリックで利用可能になるサービスといえるだろう。
今回、この新サービスを試せる機会があったので早速、構築してみたところ、なんと、デプロイを思い立ってから3時間もあれば、AzureデータセンターのベアメタルサーバーにVMware vSphere、vSAN、NSX-Tが自動構成され、おなじみのvCenterを操作しVMware環境を利用しはじめることができた。

そこで本ブログにて構築フローなどを皆様にご紹介するので、ご興味がある方はぜひ参考にしていただきたい。

▲AzureサブスクリプションにVMware vSAN構成済みのvSphere環境ができる

なぜAVSなのか?

Azure仮想マシンのデプロイがニュースサイトを巡回するのと同じくらい簡単になったいま、VMwareという追加のスタックをAzureへ上乗せしてまでVMwareの上で仮想マシンを動かす利点はいったいどこにあるのだろうか?

その答えはオンプレミスですでにVMware環境を利用しているユーザーが互換性のリスクや移行テストの期間を最小化することでワークロードのクラウド移行スピードを最大化できる点にあると筆者は考えている。

また、延長セキュリティ更新プログラムのオファーの適用により、Windows Server と SQL Server 2008 および 2008 R2 の延命が可能な点も、オンプレミスVMware環境で当該OSの迫るEOS対応に頭を悩ませるIT管理者にとっては有効な選択肢となるだろう。

 

AVSの詳細な概要を知りたい方は、資料もあるのでぜひご参考ください。

利用可能リージョンは2つ(※2019年10月23日現在)

本稿作成時点で利用可能なリージョンは米国東部と米国西部の二つであった。
今回は日本により近い米国西部リージョンを選択した。

気になる価格は?

本稿作成時点の価格は以下の通りだ。

 -ノードの価格

AVSの課金は主にノード単位だ。ノードサイズによりノードのCPU,メモリ容量、ストレージ容量が決まる。今回は小さいほうのCS28を選んだ。ノードの最低利用期間は730時間に設定され、最小構成の3ノード(CS28)でデプロイする場合は158万円を超える予算が必要となる。本稿作成時点の各ノードの価格は以下の通りだ。

サイズ 1台当たりの価格 3ノード構成時の価格
CS28 ¥526,861.44 ¥1,580,584.32
CS38 ¥752,600.80 ¥2,257,802.40

▲CloudSimpleノードの価格

 -ネットワークリソースの価格

AVS利用にあたり、AVS側のVPNゲートウェイ、ExpressRoute回線、パブリックIPアドレスを作成することになる。しかし、現時点でその価格設定にはあいまいな部分が残されているため、不明な点がある場合は利用前に各自契約のあるサポート窓口へ確認するようにしたい。
なお、筆者が個人的に確認をとったところAVS側のExpressRoute回線利用料についてはCloudSimpleの月額利用料に含まれるそうだ。一方でオンプレミス側のExpressRoute回線利用料や、日本リージョンとUSリージョンをExpressRouteで接続するためのプレミアムアドオンについては別途請求されるとのことであるため、これらは予算に含めておく必要がある。

 -実際の課金状況

AVSのCS28ノード3台をデプロイし、10日が経過した時点のコスト予測は以下のとおりである。

▲AVSの課金状況

10日で\506,000をやや超える程度であるため、30日で約158万円というのはほぼ事前の計算どおりだ。

なお、現時点ではVPNを中心に利用しており、ExpressRouteは未接続だ。また、AVSの課金モデルとして、730時間未満のデプロイ時間でAVSノードのデプロイを解除しても730時間分は必ず請求されることを再度明記しておく。

構築ステップをご紹介

 ① CloudSimpleサービスのデプロイ

AVSを利用するにあたり、まずはAzure PortalでのエントリポイントとなるCloudSimpleサービスをデプロイする。リソースグループやリージョンの他に、ここでVPNやExpressRouteで接続を行うためのゲートウェイサブネットのCIDRを決める必要がある。接続予定のオンプレミス環境と重複しないアドレスブロックをあらかじめ確保しておこう。

▲CloudSimpleサービスの作成画面

 ② CloudSimpleノードの作成

次にVMwareノードを作成する。AVSではCloudSimpleノード間で共有可能なvSANストレージを構成する前提となっているためか、最小構成は3ノードである。ちなみに、ノードのリージョンはAVSを配置したいリージョンを選ぶ。

CloudSimpleノードの作成画面

 ③ Private Cloudのデプロイ

Azure Portalで作成したばかりのVMwareノードは遊んでいる状態に等しい。
CloudSimpleサービスにPrivate CloudをデプロイしPrivate Cloudのノードとして組み込むことで、vSphereやvSAN,NSX-Tが構成され、はじめてVMware環境としてAVSが利用可能となる。

Private Cloud構成には、3台以上のCSノードをあらかじめ確保しておく必要がある

 ④ 管理ネットワークのサブネット

Private Cloudの構成時、AVSの管理用サブネットを指定する。その後AVSが与えられたアドレス空間に応じ適切なサイズにサブネットを分割し、vCenterやvSAN,NSX-Tに割り振ってくれる親切・簡単設計となっている。

▲Private CloudにvSphere/vSAN用アドレス空間を与えるところ

Private Cloud作成時、/24のIPアドレスブロックを管理ネットワークに与えた場合、/26の”System management”サブネットが作成された。この場合、VMwareノードは最大26台まで拡張可能だ。
参考までに、/24のサブネットを与えた時のデフォルトの、AVSのサブネット構成は以下の通りとなった。

▲Private Cloudのサブネット構成

 ⑤ Private Cloudの作成

必要事項を入力し、作成ボタンを押せばPrivateクラウドの作成が開始される。Microsoft社のドキュメントによると、所要時間は最大でも2時間程度とある。

 ⑥ 作成したPrivate Cloudの確認

 -CloudSimpleポータルへの移動

以降の操作はCloudSimpleポータルへ移動し行う。Azure Portalのクラウドサービス上にCloudSimpleサービスのリンクがある。

▲CloudSimpleポータルへのリンク

CloudSimpleポータルでは、仮想マシンサブネットの追加や、VPNゲートウェイの作成・管理、vCenterへの接続といった操作を実行可能だ。

▲CloudSimpleポータル

 ⑦ PrivateCloud デプロイの完了確認

プライベートクラウドの状態が操作性(Operational)となっていれば、プライベートクラウドのデプロイは完了している。

▲Private Cloudが作成完了した状態

 ⑧ 管理サーバー群

作成したプライベートクラウドのvSphere管理ネットワークを見ると、割り当てた管理用IPアドレス空間へvCenter(vCSA)やDNSサーバー、NSXなど、いくつかの管理サーバーが自動構成済であることがわかる。

▲Private Cloud上の各種サーバー

 

 ⑨ vCenterへの接続

vCenterへ接続するには、プライベートクラウドのvSphereクライアントの起動ボタンを押す。ブラウザが立ち上がり、vCenterサーバーへアクセスへ接続できる。

vCenterへのリンク

しかし、vCenterはプライベートIPアドレスしかもっていないため、Private CloudをデプロイしただけではCloudSimple環境のネットワークと、端末のネットワークに疎通性がないとvCenterにアクセスすることができない。

vCenterへの接続にはAVSプライベートネットワークへの接続が必要

そこで、VPNまたはER経由でAVS管理ネットワークとクライアント端末間の接続を確保する。

 ⑩ Point-to-Site VPN接続

 Point-to-Site VPN接続のイメージ

AVSにPoint-to-Site VPNゲートウェイを作成し、手元の端末にインストールされたVPNクライアントから接続する方式だ。接続に必要なVPN構成ファイルはCloudSimpleポータルからダウンロード可能で、構成ファイルをクライアント側でインポートするだけで接続できた。

Pont-to-Site接続を通じたvCenterへのISOファイルアップロード速度は約100Kbps前後とやや遅めであった。GBをゆうに超えるISOや仮想マシンイメージのアップロードは回線速度や端末のスペックが十分でないと現実的ではないものの、vCenterのWebUIだけであれば問題なく操作可能な印象を受けた。

▲VPN構成ファイルで端末からSSL VPNでAVSのP2S VPNゲートウェイに接続したところ

 ⑪ Site-to-Site VPN接続

Site-to-Site VPN接続のイメージ

AVSではサイト間接続用のVPNゲートウェイも利用可能だ。今回はPrivate Cloudと同じAzure西アメリカリージョンへ踏み台となる仮想マシンを配置し、AzureのVPNゲートウェイとCloudSimpleのVPNゲートウェイを接続した。
踏み台サーバーへは物理的に東日本から西アメリカのAVS環境に接続することになるためリモートデスクトップ接続に若干の遅延が感じられたが、vCenterと踏み台仮想マシン間の接続は非常に高速(< 1ms)なためvCenterは快適で、ISOのアップロード時には100Mbps近い速度が出た。
もちろん、オンプレミス環境からAVSのvCenter環境へ直接接続可能であれば別途Azureの踏み台環境を作る必要はない。

なお、本稿作成時点で選択できるVPNゲートウェイのタイプはポリシーベースのみであった。
グレイアウトされて選択はできないものの、ルートベースVPNのボタンも用意されていたため、今後のプロダクトアップデートにより利用可能となる可能性はゼロではなさそうだ。

▲Site-to-Site VPNゲートウェイの設定

 -ERによるサイト間接続

AVSのネットワークをER経由でAzureのvNetと接続したり、オンプレミスのサイトと接続することもできる。この場合、Site-to-Site VPN接続と似たような操作感かつVPNよりも安定・低遅延なアクセスを期待できる。ERによるサイト間接続については、追って本ブログでレポート予定だ。

 ⑫ vCenterへの接続

ひとたびCloudSimpleのプライベートIPアドレス空間に到達できれば、その先にはVMwareの世界が広がっている。Azureの仮想マシンとは異なり、仮想マシンを何台作成しようが、AVS上の仮想マシンをシャットダウンし忘れようが、Azureのコンピューティング料金が増える心配はない。思う存分VMwareノードのコンピューティングリソースをフル活用できる。

▲AVSのvCenterに接続したところ

 ⑬ ストレージ

標準でvSANが構成され、VMwareノード間の共有ストレージとしてすぐに利用可能だ。
すでにいくつかのISOファイルをアップロードしたあとだが、CS28タイプのノード3台で、13.73TBの空き容量があった。

AVSのvSANストレージ

 ⑭ ネットワーク

AVSでは標準で分散仮想スイッチが構成済みとなっている。

▲AVSの分散仮想スイッチ

AVSのポートグループをAzureネットワークの世界に接続するにはVMwareポートグループの作成が必要だ。

  1. CloudSimpleポータルでサブネット定義を作成する。具体的はアドレス空間とVLAN IDを指定する。

▲CloudSimpleポータルのサブネット定義画面

  • CloudSimpleポータルで指定したVLAN IDをvCenter上の分散仮想スイッチのポートグループのVLAN IDに一致させる

    ▲vCenter上でポートグループへVLAN IDを設定するところ

これでAVS仮想マシンのパケットがAzureのネットワークスタックに到達し、オンプレミスサイトや別のAzure vNetに接続できるようになる。なお、定義したCloudSimpleサブネットゲートウェイは、サブネットの1番目のIPアドレスに存在していたことを補足しておく。仮想マシン作成時にこれをデフォルトゲートウェイとして指定することになる。

 ⑮ ISOのアップロード

AVSはvCenterから仮想マシンをデプロイするため、Azure Marketplaceを利用した仮想マシンのデプロイはできない。仮想マシンを作成するには、ISOイメージをvSANデータストアにアップロードして新規仮想マシン作成時にマウントさせるか、既存の仮想マシンイメージを利用し新規仮想マシンとして展開を行う。


▲ISOイメージのvCenterへのアップロード

 ⑯ 仮想マシンの作成

VMware管理者であればおなじみのWebUIで仮想マシンの作成が可能だ。

vCenterの仮想マシン作成画面

 ⑰ コンソール接続

ゲストOSのインストールには、オンプレミスのvCenterでおなじみのVMwareリモートコンソールか、Webコンソールを利用できる。

 ⑱ VMware Toolsのインストール

仮想マシンパフォーマンス最適化のため、オンプレミスの仮想マシン同様、vCenterから仮想マシンにVMWare ToolsのISOイメージをマウントさせ、VMware Toolsをインストールする。オンプレミスのVMware環境と同様だ。

 ⑲ IPアドレスの付与

 -プライベートIPアドレス

AVSサブネットにおけるIPアドレスの割り当てはユーザー側で管理する。Azure仮想マシンと異なり、DHCPでIPアドレスを受け取ることは必須ではない。(ユーザー側でDHCPを構成することは可能だ。)
今回は手動で仮想マシンへIPアドレスを付与した。

 ⑳ 仮想マシンへのインバウンド接続

疑問に思う読者もいるかもしれないが、インターネットからAVS仮想マシンへのインバウンドアクセスはパブリックIPアドレスとFirewall Tableを構成しもちろん実現可能だ。


▲AVS上の仮想マシンに対するインバウンド接続のイメージ

 -パブリックIPアドレス

CloudSimpleポータルでパブリックIPを予約し、AVS仮想マシンのプライベートIPアドレスへ、予約したパブリックIPアドレスを紐づけることでSNAT/DNATされるイメージとなる。


▲CloudSimpleポータルのパブリックIPアドレス管理画面


▲CloudSimpleポータルでパブリックIPアドレスを確保するところ

 ㉑ Firewall Table

AVS上の仮想マシンのパブリックIPアドレスは、VMwareの世界のためAzure NSG(Network Security Group)で接続元/先IPアドレスを制限することができない。そこで、AVSではFirewall Table機能を利用し、パブリックIPアドレスに対して受信を許可するIPアドレス・プロトコル・ポートのルールを作成してやる必要がある。

CloudSimpleポータルのファイアウォールルール作成画面

なお、デフォルトの状態ではではパブリックIPアドレスに対するインバウンド接続は閉じられており、インターネット経由でAVSのゲストOSへ接続することはできない。
ソースIPとして複数のCIDRからのアクセスを許可したい場合に複数のルールを作成する必要がある点はAzure NSGと比べるとやや面倒だ。ここは改善を期待したいポイントである。

おわりに

今回、CloudSimpleをデプロイするにあたってPrivate Cloudのプロビジョニングが20時間以上たっても完了しないというレアケースを経験し、Azureサポート窓口の協力を仰いだ。調査の結果、バックエンドサポートチームによるクリーンアップが必要なと判断され、対処を行ってもらい無事Private Cloudのデプロイが完了した。
AVSは比較的新しいサービスであるが、このように利用者側で解決できない内部的な障害に対し、すでにバックエンドサポートチームによる支援体制が整っている点は利用する側にとって安心につながる大きなポイントだろう。

読者の皆様もチャンスがあれば、ぜひAzure VMware Solution by CloudSimpleの手軽さを体験してみてほしい。

今後、本ブログではSite-to-SiteネットワークのExpressRouteへの切り替えや、VMwareノードの増設、Storage vMotionによるVM移行を試すとともに随時記事を更新していく予定だ。

参照URL

参照URL:CloudSimple による Azure VMware ソリューション 最終更新日:該当なし
https://azure.microsoft.com/ja-jp/services/azure-vmware-cloudsimple/

参照URL:クイックスタート – プライベート クラウドの環境を構成する 最終更新日:2019/08/16
https://docs.microsoft.com/ja-jp/azure/vmware-cloudsimple/quickstart-create-private-cloud