この要件と推奨事項のリストを、単一または複数の VMware Cloud Foundation インスタンスを使用する環境での ESXi ホスト構成に関する参照資料として使用してください。設計要素によって、ESXi ハードウェア構成、ネットワーク、ライフサイクル管理、およびリモート アクセスが決まります。

設計の詳細については、「VMware Cloud Foundation の ESXi の設計」を参照してください。

表 1. ESXi サーバ ハードウェアの設計に関する要件

要件 ID

設計の要件

要件の理由

要件の影響

VCF-ESX-REQD-CFG-001

展開するクラスタ タイプに必要な最小台数以上の ESXi ホストをインストールします。

  • 可用性の要件が満たされていることを確認します。

  • 障害またはメンテナンス イベントが原因でいずれかのホストが使用できない場合、CPU のオーバー コミットメント率は 2:1 になります。

なし。

VCF-ESX-REQD-CFG-002

各 ESXi ホストが、必要な CPU、メモリ、およびストレージの仕様に合致していることを確認します。

  • 障害やメンテナンス中でも、競合が発生することなくワークロードが実行されるようにします。

予測される展開サイズに基づく VMware Cloud Foundation プランニングおよび準備ワークブック のサイズに応じて、サーバの仕様と台数を組み合わせます。

VCF-ESX-REQD-NET-001

各管理ドメイン クラスタの ESXi ホストを、vCenter Server 用の VLAN でバッキングされた管理ネットワーク セグメントと、NSX の管理コンポーネントに配置します。

単一の VLAN を ESXi ホスト、vCenter Server、および NSX の管理コンポーネントに割り当てることができるため、必要な VLAN の数が少なくなります。

セキュリティ上の理由から、ESXi ホストとその他の管理コンポーネント間で物理 VLAN が分離されません。

VCF-ESX-REQD-NET-002

各 VI ワークロード ドメイン クラスタの ESXi ホストを、VLAN でバッキングされた管理ネットワーク セグメント(管理ドメインで使用されるもの以外)に配置します。

VI ワークロード ドメインの ESXi ホストと管理ドメイン内の他の管理コンポーネントとの間で、物理 VLAN のセキュリティ分離が実現されます。

VI ワークロード ドメイン管理ネットワークには、新しい VLAN と新しいサブネットが必要です。

VCF-ESX-REQD-SEC-001

ホストに FQDN を割り当てた後、各 ESXi ホストの証明書を再生成します。

ワークロード ドメインの展開中に VMware Cloud Builder との安全な接続を確立し、中間者攻撃 (MiTM) を防止します。

ワークロード ドメインを展開する前に、ESXi ホストの証明書を手動で再生成する必要があります。
表 2. ESXi サーバ ハードウェア設計の推奨事項

推奨 ID

推奨事項

理由

影響

VCF-ESX-RCMD-CFG-001

管理ドメインの各 ESXi ホストに、vSAN ストレージを持つ vSAN ReadyNode を使用します。

管理ドメインは、展開時の vSAN と完全に互換性があります。

vSAN 対応の物理サーバのモデルについては、「vSAN ReadyNode での vSAN 互換性ガイド」を参照してください。

ハードウェアの選択は制限される場合があります。

vSAN ReadyNode ではないサーバ構成を使用する場合は、CPU、ディスク、および I/O モジュールについて、『VMware Cloud Foundation 5.0 リリース ノート』で指定されている ESXi バージョンに合致する、「VMware 互換性ガイド」の「CPU シリーズ」と「vSAN 互換性リスト」の記載を参照してください。

VCF-ESX-RCMD-CFG-002

デフォルトの管理 vSphere クラスタ全体に対し、構成を統一したホストを割り当てます。

負荷が分散されているクラスタには、次の利点があります。

  • ハードウェアで障害が発生してもパフォーマンスが予測可能

  • 再同期または再構築の操作によるパフォーマンスへの影響を最小化

均一化されたサーバ ノードに対するベンダー ソーシング、予算策定、および調達に関する考慮事項は、クラスタ単位で適用する必要があります。

VCF-ESX-RCMD-CFG-003

CPU のサイジング時には、マルチスレッド テクノロジーや、関連するパフォーマンスの向上は考慮しないでください。

マルチスレッド テクノロジーは CPU パフォーマンスを高めますが、パフォーマンスの向上は、実行中のワークロードに依存し、状況に応じて異なります。

物理 CPU コアを増やす必要があるため、コストは増加し、ハードウェアの選択肢は制限されます。

VCF-ESX-RCMD-CFG-004

デフォルトの管理クラスタにあるすべての ESXi ホストをインストールし、128 GB 以上のデバイスを使用して起動するように構成します。

vSAN を使用する場合は、メモリが大きい(512 GB を上回る)ホストにスクラッチ パーティション用の十分な容量を用意します。

なし

VCF-ESX-RCMD-CFG-005

デフォルトの管理クラスタ内のすべての ESXi ホストで、スクラッチ パーティションのデフォルト構成を使用します。

  • vSAN クラスタで障害が発生しても、ESXi ホストは引き続き応答し、ログ情報にも引き続きアクセスできます。

  • スクラッチ パーティションに vSAN データストアを使用することはできません。

なし

VCF-ESX-RCMD-CFG-006

デフォルトの管理クラスタで実行されているワークロードの場合は、仮想マシン スワップ ファイルをデフォルトの場所に保存します。

構成プロセスが簡素化されます。

ディザスタ リカバリ プロセスの一環として、リカバリされる管理ワークロードのレプリケーション トラフィックの量が増えます。

VCF-ESX-RCMD-NET-001

各 VI ワークロード ドメインの ESXi ホストを、VLAN でバッキングされた別々の管理ネットワーク セグメントに配置します

異なる VI ワークロード ドメインにある ESXi ホスト間での、物理 VLAN のセキュリティ分離が実現されます。

新しい VI ワークロード ドメインにはそれぞれ、新しいワークロード ドメインの管理とサブネットが必要です。

VCF-ESX-RCMD-SEC-001

SSH サービスを停止し、デフォルトの SSH サービス ポリシー Start and stop manually を使用することで、管理ドメイン内のすべての ESXi ホストで SSH アクセスを無効にします。

vSphere セキュリティ設定ガイド』およびセキュリティのベスト プラクティスに準拠していることを確認します。

SSH アクセスを無効にすると、SSH インターフェイスを介した、ESXi ホストに対するセキュリティ攻撃のリスクが軽減されます。

ワークロード ドメインの展開後、VMware Cloud Foundation が ESXi ホストでの SSH を無効にするため、トラブルシューティングやサポート アクティビティ用に SSH アクセスを手動で有効にする必要があります。

VCF-ESX-RCMD-SEC-002

管理ドメイン内のすべての ESXi ホストで、詳細設定の UserVars.SuppressShellWarning0 に設定します。
  • vSphere セキュリティ設定ガイド』およびセキュリティのベスト プラクティスに準拠していることを確認します。
  • ESXi ホストで SSH アクセスが有効になるたびに vSphere Client に表示される警告メッセージをオフにします。

トラブルシューティングまたはサポート アクティビティを実行する場合は、SSH 有効化の警告メッセージを手動で抑止する必要があります。