仮想化基盤のあれこれ

とあるIT企業でプリセールスを担当してます。主にVMware社製品を提案しています。

VMC on AWSでのID管理

こんにちは、Yos235です。

 

諸般の事情により、HorizonからSDDCに転向してきました。

 

リハビリを兼ねて助走期間を経てきたところで、一つ小ネタでも。

 

docs.vmware.com

 

2022/4/5にリリースされたVMware Cloud on AWS のSDDC1.18ですが、

> VMware Cloud on AWS での AD/LDAP のサポート

という機能があります。


>この機能により、Active Directory または OpenLDAPVMware Cloud on AWS

>外部認証方法として使用できるようになります。

>この統合は次の目的で使用できます。
>Active Directory または OpenLDAP グループ メンバーシップに基づく
>NSX-T クラウド管理者ロールの割り当て

 

vCenterにログインするのにADのアカウント情報を使うのは、オンプレだと

普通にやってることだと思いますが、VMConAWSでようやくサポートされた?

・・・んですかね(適当ですみません。。。)

 

じっくり読むと、「NSX-T」とありますので、vCenterじゃない、としても

NSX-T Data Center 3.0(リリースは2020年4月7日)にはサポートされてますね。

VMware NSX-T Data Center 3.0 リリース ノート

 

うーむ、やっぱり出来そうで出来ないことって結構ありますよね。

リリースノートを追っかけることと、PoCというかフィジビリティの

確認って大切ですね(机上のクーロンな私は弱いフィジしかとれてないです…)

 

docs.vmware.com

 

ここを読んでみている限り、vIDMコネクタ(WorkspaceONEAccess)が

必要って書いてあるんで、結局のところあんまり変わってない感じが

しなくはないんだけども。ここらへんがVMware CloudとWorkspaceONEが

ごっちゃになるところなので、今後整理したいところ。

 

オンプレADからのAADC経由でのAzureADと、

vIDMC経由でのWorkspaceONEとの組み合わせなら、実績ありなんだけどな。

 

今日は、この辺で。

サポート期限が延長されてた

Yos235です。

 

クラウド時代になってから(その前からかもしれないが)

サポート期限は短くなりましたよね。

 

でも後継製品が出てないとか、出てたとしても機能的にアレだとか、

そいう苦情が殺到したのかしていないのかわかりませんが、

サポート終了期限が変更となったものも多々あります。

 

直近の以下記事で書いたvIDMコネクタもアップデートされまして、

End of Supportが2022-08-31になりました。よかったよかった。

 

yos235.hatenablog.com

 

 

Identity Manager Connector 19.03 2019-04-16 2022-08-31 ※約3.3年(伸びた)

 

おまけで確認すべきは、こちらかと。

Workspace ONE Access 20.10 2020-11-03 2022-05-02 ※約1.5年(短いな)

Workspace ONE Access 21.08 2021-09-07 2023-09-06 ※約2年

 

今日は、この辺で。

DRSがいい感じにバランスしない

こんにちは、Yos235です。

 

昔むかし、あるところでDRSを有効にしたvSphere(VDI)基盤がありました。

VDIで不届きものがいたので、同居しているマシンを良い感じに退避してくれて

負荷を分散するってことができる、はずでした。

 

が、vCenterから見たときに、平準化されてないよね?って気づいた方々も

いらっしゃったようで、それがなんでだろ、と調べたことがあります。

その時の情報がみつかったので、備忘録的に置いておきます。

 

ーーーーここからーーーー

vCenterで表示されるホストのメモリ使用率にはConsumedMemory(消費されたメモリ)が使われており
DRSのホスト間での偏り計算にはActiveMemoryが使われます。
その違いが(管理者から見た際の)バランス調整不足の原因となることがあるようです。
 
DRSのAdvancedオプションに PercentIdleMBInMemDemand という値があり
デフォルトの25(%)より大きくすることで、平準化が期待できるようです。
また、このPercentIdleMBInMemDemandの値については以下KBより
物理メモリが充分余裕のある状況では100(%)にすることが適切であるとの記載がございます。
 
DRS performs unwanted memory load balancing moves or DPM excessively consolidates memory. (2059868)
 
> In environments where the memory size of all virtual machines is fully backed by physical memory,
> setting the value to 100 percent is appropriate. 
 
なお、この設定値変更には以下のKBを参考にご確認ください。
Changing the default behavior of Distributed Power Management in vSphere (2059354)
 
ーーーーここまでーーーー
AcitveMemoryとConsumedMemoryの違いは以下の25ページ目をご覧ください。

vExpert 2022 ★★

こんにちは、Yos235です。

 

おかげ様で、今年も継続させて頂きました。

星★★ です。

f:id:yos235:20220305193605p:plain

f:id:yos235:20220305193623p:plain

 

こんな緩いBlogで、すみません。

わからない人にもわかってもらえるように説明する、がモットーなので、

わからない人でもサラっと読めて、もっと知りたい人には

リンクを辿って頂くスタイルで、今後も続けたいと思っています。

 

今日は、この辺で。

セッションホストでのIP仮想化

こんにちは、Yos235です。

 

RDSとかRDSHとかWin10マルチセッションとかいろいろな名前で呼ばれる

1つのマシンを複数人で利用するという仕組みがあります。

 

共有しないといけないことがあって、生成するファイルの保存先を

セッションごとに分ける、であるとか行儀のよいWindowsアプリであれば

いい感じに回避してくれるようにはなりました。(2000年頃は、ねぇ…)

 

そんな中で一つ知らなかった機能がありました。

docs.microsoft.com

 

IPアドレスの仮想化です。1つのマシンなのでIPアドレスは一つですけど

アプリケーション側でIPアドレスをもとに何らかの判別をするような

システムがあったりすると、ハマる内容でした。

(これでVDI(RDSH)が不採用になった案件があったな・・・遠い目)

 

とはいえ、注意すべきは、以下2点。

・現時点でWindows Server 2022では未対応

・オンプレミス環境のみ

 

今日はこの辺で。

VIDMコネクタのサポート期限

こんにちは、Yos235です。

 

WorkspaceONE(SaaS)とオンプレADの連携をするために

VIDM(VMware IDentity Manager)コネクタが必要です。

 

Product Lifecycle Matrix

によれば、GAが2019-04-16、End of Supportが2021-07-01と記載がありますが

https://kb.vmware.com/s/article/83996

サポートは2022年6月末まで延長されています。(Last Updated: 2021/12/13)

 

となるとアップグレード先となるWS1Aコネクタのリリースが気になりますが、

techzone.vmware.com

Compatibility with Horizon Cloud Service
Workspace ONE Access cloud tenants and on-premises Workspace ONE Access 21.08 appliances are compatible with the new connector.

 

21.08がコンパチあるらしいですが、

 

There are some scenarios that are excluded from the new service, however. If you are using Horizon Cloud on IBM or Horizon Cloud on Microsoft Azure with Single Pod Broker the upgrade is not supported, as described in the document Migrating to VMware Workspace ONE Access Connector 21.08.

 

SinglePodBrokerを使用している場合は除くようです。

つまり Universal Connector にしてからの、 WS1Aコネクタへの移行ですね。

 

https://docs.vmware.com/en/VMware-Workspace-ONE-Access/21.08/workspaceoneaccess_connector_migration/GUID-4144EAF6-A7AE-4CCB-82E0-1A11D723E898.html

 

You cannot directly upgrade connector version 19.03 or 19.03.0.1 to version 21.08.

直接アップグレードはできません。

 

To migrate to the 21.08 connector, you migrate all your directories and supported virtual apps collections. 

マイグレーション(移行)をします。

 

Migration is a one-time process, and you must migrate directories and virtual apps collections together.

アプリケーションコレクションとディレクトリを一緒に移行しなければならない。

 

If you are using Horizon Cloud Service on Microsoft Azure with Universal Broker, and you have a Workspace ONE Access cloud tenant, you can set up the integration between the Horizon Cloud and Workspace ONE Access tenants from the Horizon Cloud administration console.

 

HorizonAzureとUniversalBrokerを使っている場合は、クラウドのコンソールから

インテグレーションが可能。

 

This integration method does not require you to set up a virtual apps collection in the Workspace ONE Access console. 

アプリケーションコレクションセットアップは必要ない。(ディレクトリは?)

 

https://docs.vmware.com/en/VMware-Horizon-Cloud-Service/services/hzncloudmsazure.admin15/GUID-31C7340C-3021-444A-A231-F91995E41261.html

 

click Clean Up to perform the clean-up tasks that are required to finish converting the legacy integration to an integration in a Universal Broker environment.

 

クリーンアップタスクを実行するだけで、統合が完了するらしい。

ディレクトリは…)

 

またも中途半端ですが、今日はこの辺で。

 

WorkspaceONE Access と AD連携

こんにちは、Yos235です。

 

WorkspaceONE Access を使用してHorizon Azureに接続したい。

オンプレADとの認証って誰がやるんだろう?という疑問がでてきたので

確認してみた。

 

techzone.vmware.com

 

基本的な構成はこんな感じなのですが、

 

 

Table 2: Workspace ONE Access Components

Workspace ONE Access Connector

Responsible for directory synchronization and handles some of the authentication methods between on-premises resources such as Active Directory, VMware Horizon, Citrix, and the Workspace ONE Access service.

You deploy the connector by running the Windows-based installer.

 

VIDMコネクタは、ディレクトリSyncだけを担当していると思ってたら、

handles some of the authentication "一部の" 認証も実行しているようです。

 

 

一方、こちらがHorizonAzureのNetoworkDiagram。

techzone.vmware.com

 

PodManager からKerberos(88)にも行っているし、

WorkspaceONE ComponentからADに行っているし。

個々の認証ってどこがやってるのかな?ってなるのですよね。

 

https://docs.vmware.com/en/VMware-Horizon-Cloud-Service/services/hzncloudmsazure.getstarted15/GUID-FE6A6C12-2A0A-4C2D-B578-F1D65475801A.html

 

さらに読み進めていくと、

Manager VM (PodManager)からKerberosには確実に行ってる。

Kerberos services. Target is the server that contains a domain controller role in an Active Directory configuration. Registering the pod with an Active Directory is a requirement.

 

シングルポッド構成の場合はPodManagerとWS1ComponentのRelationshipが必要。

In a single-pod-broker configured environment, this connection is used to create a trust relationship between the pod and the Workspace ONE Access service, where the Workspace ONE Access Connector is synched with the pod. 

 

ーーー

Workspace ONE Access Architecture | VMware

こちらのドキュメントに戻ると、、

Deploying a Workspace ONE Access Connector provides the following capabilities:

・Workspace ONE Access Connector–based authentication methods such as username and password, certificate, RSA Adaptive Authentication, RSA SecurID, RADIUS, and Active Directory Kerberos authentication for internal users

 

最後のfor internal usersの意味合いが難しいのだけど、

 

https://docs.vmware.com/en/VMware-Workspace-ONE-Access/19.03/identitymanager-connector-win/GUID-DB8DE14F-E1C1-4D94-A7FC-DC4B0CC8DB75.html

Kerberos authentication diagram

 

「接続端末がEnterprise Network 内にいる」場合の話に見えるんですよね。

ま、いずれにしてもVIDMコネクタが認証しているように見えますね。

 

となると根拠はないが、WS1との統合がない場合とUniversalConnectorの時は

PodManagerからADへの通信を行っているが、SPB構成はコネクタ経由になる

、、、ってことだろうか。うーん、自信がないな…

 

中途半端ですが、今日はこの辺で。