VMware VMware Cloud Director を使用すると、仮想インフラストラクチャ リソースを仮想データセンター (VDC) にプールし、Web ベースのポータルおよびプログラム インターフェイスを通じて完全に自動化されたカタログベースのサービスとしてリソースをユーザーに公開することで、安全なマルチテナントのクラウドを構築できます。

VMware Cloud Director Service Provider Admin ガイド』では、システムへのリソースの追加、組織の作成とプロビジョニング、リソースと組織の管理、およびシステムの監視に関する情報を提供します。

サービス プロバイダ、サブプロバイダ、およびテナント

VMware Cloud Director 10.6 では、サービス プロバイダとテナントに加えて、サブプロバイダの概念が導入されています。サブプロバイダは、テナント組織を作成して管理できるテナント個人設定です。プロバイダは、必要な管理者権限と他の組織に移動する権限を付与することで、テナント組織をサブプロバイダにすることができます。サブプロバイダ管理者は、これらの権限をテナントに付与できません。

既存のテナント組織をサブプロバイダ組織に変更する場合は、Default Sub-Provider Entitlement 権限バンドルを公開し、サブプロバイダ管理者ロールをテナント組織に公開するか、同等の権限セットを含む権限バンドルとロールを公開する必要があります。組織を作成するときにサブプロバイダ オプションを選択すると、VMware Cloud Director は、Default Sub-Provider Entitlement 権限バンドルとサブプロバイダ管理者ロールを新しく作成された組織に自動的に公開します。

サブプロバイダ管理者は、サブプロバイダ組織内で、次の操作を実行できます。
  • 組織の作成
  • 組織 VDC の作成、表示、管理、および削除
  • 組織 VDC ネットワークの作成、表示、管理、および削除
  • 組織への切り替え
  • 組織 IdP の設定
  • すべての標準テナント操作の実行
  • ロールの作成と公開
  • 権限バンドルの作成と公開
  • 外部ネットワークの表示
  • カタログの共有と公開
  • カタログ サブスクリプションの管理
図 1. グリーンフィールド デプロイの例
プロバイダは、プロバイダ VDC を管理し、リソースを付与します。サブプロバイダは、組織および付与されたリソースを管理します。テナントは、組織および組織 VDC を管理します。
図 2. ブラウンフィールド デプロイの例
プロバイダは、最初にテナントにサブプロバイダ権限を付与します。その後、プロバイダがサブプロバイダにリソースを付与すると、サブプロバイダはテナントの作成を開始できます。

サブプロバイダが管理するテナント組織の制限事項

VMware Cloud Director 10.6 では、テナント組織が空でない場合に、管理組織の変更に制限があります。VDC またはネットワーク リソースが構成されていない場合、組織は空と見なされます。
  • System 組織によって管理されているテナント組織をサブプロバイダに再割り当てすることはできません。
  • サブプロバイダが管理する System 組織とテナント組織に再割り当てすることはできません。
  • サブプロバイダによってすでに管理されているテナント組織を、別のサブプロバイダに再割り当てすることはできません。

vSphere および NSX リソース

VMware Cloud Director は、vSphere リソースを使用して、仮想マシンを実行するための CPU およびメモリを提供します。さらに、vSphere データストアは、仮想マシンの操作に必要な仮想マシン ファイルおよびその他のファイルのストレージを提供します。また、VMware Cloud DirectorvSphere 分散スイッチ、vSphere ポート グループ、および NSX Data Center for vSphere も使用して仮想マシンのネットワークをサポートします。

VMware Cloud DirectorNSX のリソースも使用できます。NSX Manager インスタンスをクラウドに登録する方法については、「VMware Cloud Director を使用した NSX Manager インスタンスの登録」トピックまたは『サービス プロバイダ向け VMware Cloud Director API プログラミング ガイド』を参照してください。

基盤となる vSphere および NSX リソースを使用して、クラウド リソースを作成できます。

VMware Cloud Director は HTTP プロキシ サーバとして機能するため、組織が基盤となる vSphere 環境にアクセスできるように設定することが可能です。

クラウド リソース

クラウド リソースは、基盤となる vSphere リソースを抽象化したものです。VMware Cloud Director 仮想マシンおよび vApp のコンピューティング リソースとメモリ リソースを提供します。vApp は、1 台以上の個々の仮想マシンが、動作の詳細を定義するパラメータとともに含まれている仮想システムです。クラウド リソースからは、ストレージにアクセスし、ネットワークと接続することもできます。

クラウド リソースには、プロバイダおよび組織 VDC、外部ネットワーク、組織 VDC ネットワーク、ネットワーク プールがあります。

クラウド リソースを VMware Cloud Director に追加するには、事前に vSphere リソースを追加する必要があります。

コンピューティングのオーバープロビジョニング

プロバイダによって付与される CPU およびメモリの予約容量の合計量は、物理メモリ容量を超えることはできません。ただし、プロバイダは、 [CPU 割り当て] および [メモリ割り当て] 制限を使用して、コンピューティング リソースをサブプロバイダにオーバープロビジョニングすることができます。サブプロバイダは CPU とメモリをテナントにオーバープロビジョニングすることもできますが、確保されたコンピューティング リソースはそれぞれの付与を超えることはできません。たとえば、プロバイダ VDC の物理メモリ容量が 100 GB のプロバイダの場合、割り当てられたメモリが 200 GB、メモリ予約容量が 50 GB のサブプロバイダにプロバイダ VDC を付与できます。この例では、プロバイダはメモリ割り当てをオーバープロビジョニングしますが、サブプロバイダの予約済みメモリ容量を 50 GB に制限しています。サブプロバイダは、合計容量が 200 GB の組織 VDC を作成できます。ただし、サブプロバイダのすべてのテナントの予約済みメモリ容量の合計は 50 GB を超えることはできません。
図 3. メモリ割り当ての例
プロバイダは、サブプロバイダに物理メモリを付与します。サブプロバイダは、テナントにメモリを割り当てます。

CPU とメモリの割り当てとオーバープロビジョニングは同じです。

ストレージのプロビジョニング

プロバイダは、プロバイダ VDC ストレージ ポリシーをテナントに付与できます。サブプロバイダは、付与されたストレージ ポリシーをテナント組織 VDC に公開することで、ストレージ ポリシーを使用できます。CPU とメモリとは異なり、ストレージをオーバープロビジョニングすることはできません。サブプロバイダは、ストレージ割り当てを超えてストレージをテナントに割り当てることはできません。たとえば、プロバイダに 100 GB のストレージがあり、サブプロバイダに 50 GB のみのストレージ ポリシーを付与した場合、サブプロバイダは、テナントに合計 50 GB の組織 VDC を割り当てることができます。

プロバイダは、物理的に使用可能なストレージよりも多くのストレージを付与できます。ただし、サブプロバイダは、実際の物理ストレージのサイズを把握していないため、テナントに対するオーバープロビジョニングの程度を把握できません。

図 4. ストレージ割り当ての例
プロバイダは、サブプロバイダに物理ストレージを付与します。サブプロバイダは、テナントにストレージを割り当てます。

専用 vCenter インスタンスおよびプロキシ

専用 vCenter インスタンスは、vCenter インストール全体をカプセル化するクラウド リソースです。専用 vCenter インスタンスには、基盤となる vSphere 環境のさまざまなコンポーネントへのアクセス ポイントとなるプロキシが 1 つ以上含まれています。プロバイダは、専用 vCenter インスタンスおよびプロキシを作成して有効にすることができます。プロバイダは、専用 vCenter インスタンスをテナントに公開できます。

専用 vCenter インスタンスおよびプロキシを作成および管理するには、Service Provider Admin Portal または vCloud OpenAPI を使用します。「VMware Cloud Director での専用 vCenter インスタンスの管理」および「VMware Cloud Director OpenAPI スタート ガイド」を参照してください。

プロバイダ仮想データセンター

プロバイダ VDC では、1 つの vCenter リソース プールのコンピューティング リソースとメモリ リソースを、そのリソース プールで使用可能な 1 つ以上のデータストアのストレージ リソースと結合します。

プロバイダ VDC は、vCenter インスタンスに関連付けられている NSX-V Manager インスタンス、またはクラウドに登録されている NSX Manager インスタンスのネットワーク リソースを使用できます。

場所やビジネス ユニットの異なるユーザーやパフォーマンス要件の異なるユーザーのために、複数のプロバイダ VDC を作成できます。

組織仮想データセンター

組織 VDC は、組織にリソースを提供し、プロバイダ VDC からパーティション分割されます。組織 VDC は、仮想システムを格納、デプロイ、および運用できる環境を提供します。また、フロッピー ディスクや CD ROM などの仮想メディアのストレージともなります。

1 つの組織が複数の組織 VDC を持つことができます。

VMware Cloud Director ネットワーク

VMware Cloud Director は 3 種類のネットワークをサポートします。
  • 外部ネットワーク
  • 組織 VDC ネットワーク
  • vApp ネットワーク

一部の組織 VDC ネットワークとすべての vApp ネットワークは、ネットワーク プールによってバッキングされます。

外部ネットワーク

外部ネットワークは、vSphere ポート グループに基づいた、論理的で区別されているネットワークです。組織 VDC ネットワークを外部ネットワークに接続すれば、vApp 内部の仮想マシンをインターネットに接続できます。

VMware Cloud Director は、IPv6 外部ネットワークをサポートします。IPv6 外部ネットワークは IPv4 サブネットと IPv6 サブネットの両方をサポートし、IPv4 外部ネットワークは IPv4 サブネットと IPv6 サブネットの両方をサポートします。

デフォルトでは、外部ネットワークを作成および管理できるのは、システム管理者のみです。

組織仮想データセンター ネットワーク

組織 VDC ネットワークは、VMware Cloud Director 組織 VDC に属していて、組織内のすべての vApp から使用できます。組織 VDC ネットワークにより、組織内の vApp は相互に通信できます。外部接続を提供する場合は、組織 VDC ネットワークを外部ネットワークに接続することができます。また、組織の内部に、隔離された組織 VDC ネットワークを作成することもできます。

VMware Cloud Director は、直接および経路指定された組織 VDC ネットワークで IPv6 をサポートします。

システム管理者は、NSX 論理スイッチによってバッキングされ、隔離された VDC ネットワークを作成できます。組織管理者は、ネットワーク プールによってバッキングされ、隔離された VDC ネットワークを作成することができます。

VMware Cloud Director は、VDC グループに拡張ネットワークを構成することで、クロス VDC ネットワークを使用します。

デフォルトでは、直接ネットワークおよびクロス VDC ネットワークを作成できるのは、システム管理者のみです。システム管理者組織管理者は組織 VDC ネットワークを管理できますが、組織管理者が管理できる内容には制限があります。

vApp ネットワーク

vApp ネットワークは vApp に属していて、これにより vApp 内の仮想マシンは相互に通信できるようになります。vApp が組織内の他の vApp と通信できるようにするには、vApp ネットワークを組織 VDC ネットワークに接続します。組織 VDC ネットワークが外部ネットワークに接続されている場合、vApp は他の組織の vApp と通信できます。vApp ネットワークは、ネットワーク プールによってバッキングされます。

vApp にアクセス可能なほとんどのユーザーは、独自の vApp ネットワークを作成して管理できます。vApp でのネットワークの操作方法については、『VMware Cloud Director サブプロバイダおよびテナント ガイド』を参照してください。

ネットワーク プール

ネットワーク プールは、組織 VDC 内で使用可能な、区別されていないネットワークのグループです。ネットワーク プールは、VLAN ID やポート グループのような vSphere ネットワーク リソースによってバッキングされます。VMware Cloud Director はネットワーク プールを使用して、NAT を経由する内部組織 VDC ネットワークおよびすべての vApp ネットワークを作成します。プールの各ネットワークにおけるネットワーク トラフィックは、他のすべてのネットワークからレイヤ 2 で隔離されます。

VMware Cloud Director では各組織 VDC に 1 つのネットワーク プールを指定できます。複数の組織 VDC で 1 つのネットワーク プールを共有できます。組織 VDC のネットワーク プールは、組織 VDC のネットワーク割り当て容量を満たすために作成されるネットワークを提供します。

ネットワーク プールを作成および管理できるのは、システム管理者のみです。

組織

VMware Cloud Director は組織を使用することでマルチテナントをサポートします。組織は、ユーザー、グループ、およびコンピューティング リソースの集合で構成される管理単位です。ユーザーは、ユーザーの作成時またはインポート時に組織管理者が設定した認証情報を入力して、組織レベルで認証を受けます。システム管理者が組織を作成してプロビジョニングするのに対し、組織管理者は、組織のユーザー、グループ、およびカタログを管理します。組織管理者のタスクについては『VMware Cloud Director サブプロバイダおよびテナント ガイド』を参照してください。

ユーザーとグループ

組織には、任意の数のユーザーおよびグループを含めることができます。組織管理者は、ユーザーを作成し、LDAP などのディレクトリ サービスからユーザーとグループをインポートできます。システム管理者は、各組織で使用可能な権限のセットを管理します。システム管理者は、作成し、グローバル テナントのロールを作成し、1 つ以上の組織に公開できます。組織管理者は、自分の組織のローカル ロールを作成できます。

カタログ

組織は、カタログを使用して vApp テンプレートとメディア ファイルを格納します。カタログにアクセスできる組織のメンバーは、カタログを含んでいる vApp テンプレートとメディア ファイルを使用して、独自の vApp を作成できます。システム管理者は、他の組織が利用できるようにするため、カタログの公開を組織に許可することができます。その後、組織管理者は、ユーザーに提供するカタログ項目を決定できます。