Azure VMware Solution を使用した VMware Cloud Director サービスを有効にする

  • [アーティクル]

Azure VMware Solution を使用した VMware Cloud Director サービス (CD) により、企業のお客様は API または Cloud Director サービス ポータルを使い、マルチテナントを介して仮想データセンターのプロビジョニングと管理をセルフサービスで行い、さらに時間と複雑さを軽減することができます。

この記事では、Azure VMware Solution を使用した VMware Cloud Director サービスを有効にして、企業のお客様が仮想データセンターの基となるリソースと共に Azure VMware Solution リソースと Azure VMware Solution プライベート クラウドを使う方法について説明します。

重要

VMware Cloud Director サービスは、Enterprise Agreement (EA) モデルでのみ、Azure VMware Solution に使用できるようになりました。 現在のところ、MSP またはホスト側が Azure VMware Solution の容量をお客様に再販することは適切ではありません。 詳細については、Azure サービスのご契約条件に関する記事を参照してください。

参照アーキテクチャ

次の図は、Azure VMware Solution を使用した Cloud Director サービスの一般的なアーキテクチャと、その接続方法を示しています。 Cloud Director サービスから Azure VMware Solution エンドポイントへの通信は、SSL リバース プロキシによってサポートされています。

一般的なアーキテクチャと、VMware Cloud Director サービスを Azure VMware Solution と接続する方法を示す図。

VMware Cloud Director は、組織を使ってマルチテナントをサポートしています。 1 つの組織は、組織仮想データセンター (VDC) を複数持つことができます。 各組織の VDC は専用の Tier-1 ルーター (Edge ゲートウェイ) を持つことができます。これはさらにプロバイダーの管理する共有 Tier-0 ルーターと接続されています。

Azure VMware Solutions の参照アーキテクチャ上の CD の詳細を確認します

テナントとその組織仮想データセンターを Azure VNet ベースのリソースに接続する

VNet ベースの Azure リソースにアクセスできるように、各テナントは、Azure VPN ゲートウェイを使った専用の Azure VNet を持つことができます。 お客様の組織 VDC と Azure VNet の間にサイト間 VPN が確立されます。 この接続を実現するために、テナントは組織 VDC にパブリック IP を提供します。 組織 VDC の管理者は、Cloud Director サービス ポータルから IPSEC VPN 接続を構成できます。

サイト間 VPN 接続と、VMware Cloud Director サービスが Azure VMware Solution にどのように接続されているかを示す図。

前の図に示すように、組織 01 には VDC1 と VDC2 という 2 つの組織仮想データセンターがあります。 各組織の仮想データセンターには、独自の Azure VNet があり、IPSEC VPN を介してそれぞれの組織 VDC Edge ゲートウェイに接続されています。 プロバイダーは、IPSEC VPN 構成のために、組織の VDC Edge ゲートウェイにパブリック IP アドレスを用意します。 組織 VDC Edge ゲートウェイ ファイアウォールは、既定ですべてのトラフィックをブロックするので、特定の許可規則を組織 Edge ゲートウェイ ファイアウォールに追加する必要があります。

組織 VDC は 1 つの組織の一部であり、さらにそれらの間を分離することができます。 たとえば、組織 VDC1 でホストされている VM1 から tenant2 用の Azure VM JSVM2 に対して ping を実行することはできません。

前提条件

  • 組織 VDC には Edge ゲートウェイが構成され、IPSEC VPN を確立するためにプロバイダーからパブリック IP が割り当てられています。
  • テナントが、テナントの仮想データセンターにルーティングされる組織 VDC ネットワークを作成している。
  • テスト VM1 と VM2 がそれぞれ組織 VDC1 と VDC2 に作成されています。 両方の VM は、それぞれの VDC 内にルーティングされる orgVDC ネットワークに接続されています。
  • 各テナントに専用の Azure VNet が構成されている。 この例では、tenant1 と tenant2 用にそれぞれ Tenant1-VNet と Tenant2-VNet を作成しました。
  • 先ほど作成した VNET 用に Azure 仮想ネットワーク ゲートウェイを作成する。
  • テスト用に、tenant1 と tenant2 に Azure VM JSVM1 と JSVM2 をデプロイします。

Note

VMware Cloud Director サービスはポリシー ベースの VPN をサポートします。 Azure VPN ゲートウェイの既定では、ルートベースの VPN が構成されます。ポリシーベースの VPN を構成するには、ポリシーベースのセレクターを有効にする必要があります。

Azure VNet を構成する

テナント専用の Azure VNet に次のコンポーネントを作成して、テナントの組織 VDC Edge ゲートウェイとの IPSEC トンネル接続を確立します。

  • Azure 仮想ネットワーク ゲートウェイ
  • ローカル ネットワーク ゲートウェイ。
  • VPN ゲートウェイに IPSEC 接続を追加します。
  • 接続構成を編集して、ポリシーベースの VPN を有効にします。

Azure 仮想ネットワーク ゲートウェイを作成する

Azure 仮想ネットワーク ゲートウェイを作成するには、create-a-virtual-network-gateway のチュートリアルを参照してください。

ローカル ネットワーク ゲートウェイの作成

  1. Azure portal にサインインし、Marketplace から [ローカル ネットワーク ゲートウェイ] を選択して、[作成] を選択します。
  2. ローカル ネットワーク ゲートウェイは、リモート エンド サイトの詳細を表します。 そのため、tenant1 OrgVDC パブリック IP アドレスと orgVDC ネットワークの詳細を指定して、tenant1 用のローカル エンド ポイントを作成します。
  3. [インスタンスの詳細] で、IP アドレスとして [エンドポイント] を選びます。
  4. IP アドレスを追加します (テナントの OrgVDC Edge ゲートウェイからパブリック IP アドレスを追加します)。
  5. [アドレス空間][Tenants Org VDC Network] (テナント組織 VDC ネットワーク) を追加します。
  6. 手順 1 から 5 を繰り返し、テナント 2 用のローカル ネットワーク ゲートウェイを作成します。

VPN ゲートウェイに IPSEC 接続を作成する

  1. (先ほど作成した) tenant1 VPN ゲートウェイを選び、(左側のペインにある) [接続] を選んで tenant1 orgVDC Edge ゲートウェイとの新しい IPSEC 接続を追加します。

  2. 以下の詳細情報を入力します。

    名前 接続
    接続タイプ サイト間
    VPN Gateway テナントの VPN ゲートウェイ
    ローカル ネットワーク ゲートウェイ テナントのローカル ゲートウェイ
    PSK 共有キー (パスワードを入力します)
    IKE プロトコル IKEV2 (ORG-VDC には IKEv2 を使います)

  3. [OK] を選んでローカル ネットワーク ゲートウェイをデプロイします。

IPsec 接続を構成する

VMware Cloud Director サービスはポリシー ベースの VPN をサポートします。 Azure VPN ゲートウェイの既定では、ルートベースの VPN が構成されます。ポリシーベースの VPN を構成するには、ポリシーベースのセレクターを有効にする必要があります。

  1. 先ほど作成した接続を選び、[構成] を選んで既定の設定を表示します。
  2. Ipsec/IKE ポリシー
  3. ポリシー ベース トラフィック セレクターを有効にする
  4. 他のすべてのパラメーターを、OrgVDC のものと一致するように変更します。

    Note

    トンネルのソースと宛先の両方で、IKE、SA、DPD などの設定を同じにする必要があります。

  5. [保存] を選択します。

組織 VDC Edge ルーターに VPN を構成する

  1. 組織 VMware Cloud Director サービスのテナント ポータルにサインインし、テナントの Edge ゲートウェイを選択します。

  2. [サービス][IPSEC VPN] オプションを選び、[新規] を選びます。

  3. 全般設定で [名前] を指定し、目的のセキュリティ プロファイルを選びます。 セキュリティ プロファイルの設定 (IKE、トンネル、DPD の構成) が、IPsec トンネルの両側で同じになるようにします。

  4. 必要に応じて、セキュリティ プロファイルに合わせて Azure VPN ゲートウェイを変更します。 セキュリティ プロファイルのカスタマイズは、CDS テナント ポータルから行うこともできます。

    Note

    これらの設定が一致しない場合、VPN トンネルは確立されません。

  5. [ピア認証モード] で、Azure VPN ゲートウェイに使われているものと同じ事前共有キーを指定します。

  6. [エンドポイントの構成] で、ローカル エンドポイントに組織のパブリック IP とネットワークの詳細、リモート エンドポイント構成に Azure VNet の詳細を追加します。

  7. [完了の準備完了] で、適用した構成を確認します。

  8. [完了] を選んで構成を適用します。

ファイアウォールの構成を適用する

組織 VDC Edge ルーター ファイアウォールの既定では、トラフィックが拒否されます。 接続を有効にするには、特定の規則を適用する必要があります。 次の手順を使って、ファイアウォール規則を適用します。

  1. VMware Cloud Director サービス ポータルで IP セットを追加する
    1. Edge ルーターにサインインし、左側プレーンの [セキュリティ] タブにある [IP セット] を選択します。
    2. [新規] を選んで IP セットを作成します。
    3. orgVDC にデプロイされたテスト VM の [名前][IP アドレス] を入力します。
    4. このテナントの Azure VNet 用に別の IP セットを作成します。
  2. 組織 VDC Edge ルーターにファイアウォール規則を適用します。
    1. [Edge Gateway] (Edge ゲートウェイ)[Edge Gateway] (Edge ゲートウェイ) を選び、[サービス][ファイアウォール] を選びます。
    2. [規則の編集] を選びます。
    3. [NEW ON TOP] (上に新規作成) を選び、規則名を入力します。
    4. ソース宛先の詳細を追加します。 作成した IP セットをソースと宛先に使います。
    5. [アクション] で、 [許可] を選択します。
    6. [保存] を選び、構成を適用します。
  3. トンネルの状態を検証する
    1. [Edge Gateway] (Edge ゲートウェイ)[サービス] を選び、[IPSEC VPN] を選びます。
    2. [統計情報の表示] を選びます。
      トンネルの状態に "" と表示されます。
  4. IPsec 接続を検証する
    1. テナント VNet にデプロイされた Azure VM にサインインし、テナントの OrgVDC にあるテナントのテスト VM の IP アドレスに対して ping を実行します。
      たとえば、JSVM1 から VM1 に ping を実行します。 同様に、JSVM2 から VM2 に ping を実行できるはずです。 テナント Azure VNet 間の分離を検証することができます。 テナント 1 VM1 は、テナント 2 Azure VNet 内のテナント 2 Azure VM JSVM2 に対して ping を実行できません。

テナント ワークロードをパブリック インターネットに接続する

  • テナントは、パブリック IP を使って SNAT の構成を行い、組織 VDC 内でホストされている VM のインターネット アクセスを有効にできます。 プロバイダーは、この接続を実現するために、組織 VDC にパブリック IP を用意します。
  • NAT 構成用にパブリックおよびプライベート IP を予約して、(プロバイダーが作成した) 専用 T1 ルーターを使って各組織 VDC を作成できます。 テナントは、パブリック IP SNAT 構成を使って、組織 VDC でホストされている VM のインターネット アクセスを有効にすることができます。
  • OrgVDC 管理者は、OrgVDC Edge ゲートウェイに接続されている、ルーティングされた OrgVDC ネットワークを作成できます。 インターネット アクセスを提供します。
  • OrgVDC 管理者は、特定の VM を提供するために SNAT を構成することや、パブリック接続を提供するためにネットワーク CIDR を使用することができます。
  • OrgVDC Edge には既定の "すべて拒否" ファイアウォール規則があります。 組織管理者は、ファイアウォールを介したアクセスを許可するために、新しいファイアウォール規則を追加することで適切なポートを開く必要があります。 SNAT 構成で使われるこのような OrgVDC ネットワーク上に構成した仮想マシンからは、インターネットにアクセスできるはずです。

前提条件

  1. パブリック IP は、組織 VDC Edge ルーターに割り当てられています。 検証するには、組織の VDC にサインインします。 [ネットワーク]>[エッジ][Edge Gateway] (Edge ゲートウェイ) を選び、[IP 管理][IP allocations] (IP の割り当て) を選びます。 割り当てられた IP アドレスの範囲がそこに表示されます。
  2. ルーティングされた組織 VDC ネットワークを作成します (パブリック IP アドレスが割り当てられている Edge ゲートウェイに OrgvDC ネットワークを接続します)。

SNAT 構成を適用する

  1. 組織 VDC にサインインします。 Edge ゲートウェイに移動し、[サービス] の下にある [NAT] を選びます。
  2. [新規] を選び、新しい SNAT 規則を追加します。
  3. [名前] を指定し、SNAT として [インターフェイスの種類] を選びます。
  4. [外部 IP] に、orgVDC Edge ルーターに割り当てられているパブリック IP プールのパブリック IP アドレスを入力します。
  5. [内部 IP] に、テスト用 VM の IP アドレスを入力します。 この IP アドレスは、VM に割り当てられた orgVDC ネットワーク IP の 1 つです。
  6. [状態] を有効にする必要があります。
  7. [優先度] には高い数値を選びます。 たとえば 4096 です。
  8. [保存] を選んで構成を保存します。

ファイアウォール規則を適用する

  1. 組織 VDC にサインインし、[Edge ゲートウェイ] に移動して、セキュリティの [IP セット] を選択します。
  2. IP セットを作成します。 VM の IP アドレスを指定します (CIDR も使用できます)。 [保存] を選択します。
  3. [サービス][ファイアウォール] を選び、[規則の編集] を選びます。
  4. [NEW ON TOP] (上に新規作成) を選び、目的のポートと宛先を許可するファイアウォール規則を作成します。
  5. 先ほど作成した [IPset] (IP セット) をソースとして選びます。 [アクション] で、 [許可] を選択します。
  6. [保存] を選んで構成を保存します。
  7. テスト VM にサインインし、宛先アドレスに ping を実行して送信接続を検証します。

Azure VMware Solution 上の VMware Cloud Director サービスにワークロードを移行する

VMware Cloud Director Availability は、VMware Cloud Director ワークロードを Azure VMware Solution 上の VMware Cloud Director サービスに移行するために使用できます。 企業のお客様は、オンプレミスの Cloud Director Availability vSphere プラグインからセルフサービスの単方向ウォーム移行を実行できます。また、プロバイダーマネージド Cloud Director インスタンスから Cloud Director Availability プラグインを実行し、Azure VMware Solution にワークロードを移行することができます。

VMware Cloud Director Availability の詳細については、VMware Cloud Director Availability のディザスター リカバリーと移行に関する記事を参照してください

よく寄せられる質問

VMware Cloud Director サービスでは、どの Azure リージョンがサポートされていますか?

このオファリングは、Azure VMware Solution を使用できる、ブラジル南部と南アフリカを除くすべての Azure リージョンでサポートされています。 VMware Cloud Director サービスに接続するリージョンが、VMware Cloud Director サービスとの待機時間が往復で 150 ミリ秒以内であることを確認します。

Microsoft Azure VMware Solutions では、VMware Cloud Director サービスをどのように構成しますか?

Azure VMware Solutions で CD を構成する方法について確認します

VMware Cloud Director サービスはどのようにサポートされていますか?

VMware Cloud Director サービス (CD) は、VMware が所有およびサポートする製品であり、Azure VMware Solution に接続されます。 CD に関するサポート クエリについては、VMware サポートにお問い合わせください。 VMware と Microsoft の両方のサポート チームは、Azure VMware Solution 内の Cloud Director サービスの問題への対処と解決に向けて、必要に応じて共同作業を行います。

次のステップ

VMware Cloud Director サービスのドキュメント
Cloud Director サービスを使用した Azure VMware Solutions への移行