VMware Cloud Foundation 4.5

5.2 5.1 5.0 4.5
Deutsch Français Italiano 日本語 English

設計の要素

この要件と推奨事項のリストを、単一または複数の
インスタンスを使用する環境での
に関する参照資料として使用してください。この設計の要素では、管理ドメインに含まれるアベイラビリティ ゾーンが 1 つか複数かどうかも考慮されます。
設計の詳細については、「の の設計」を参照してください。
 設計の要件
要件 ID
設計の要件
理由
影響
VCF-WSA-REQD-ENV-001
 でグローバル環境を作成し、
 の展開をサポートします。
 を展開するため、
 にはグローバル環境が必要です。
なし。
VCF-WSA-REQD-SEC-001
 製品のライフサイクル操作を行うために、認証局の署名付き証明書を Locker リポジトリにインポートします。
  • 展開や証明書の置き換えなど、製品のライフサイクル操作中に、認証局の署名付き証明書を参照して使用できます。
API を使用するときは、JSON ペイロードで使用する証明書の Locker ID を指定する必要があります。
VCF-WSA-REQD-CFG-001
 モードで
を使用して、選択した展開モデルに応じて適切なサイズの
インスタンスを展開します。
 インスタンスは
によって管理され、SDDC Manager インベントリにインポートされます。
なし。
VCF-WSA-REQD-CFG-002
オーバーレイによってバッキングされた、または VLAN によってバッキングされた NSX ネットワーク セグメントに
アプライアンスを配置します。
単一または複数の
インスタンスがある環境で、管理アプリケーションに一貫した展開モデルを提供します。
このネットワーク構成をサポートするには、NSX の実装を使用する必要があります。
VCF-WSA-REQD-CFG-003
組み込みの PostgreSQL データベースを
とともに使用します。
外部データベース サービスが不要になります。
なし。
VCF-WSA-REQD-CFG-004
 用の仮想マシン グループを追加し、仮想マシン ルールを設定して、
 仮想マシン グループを、それに依存する他の仮想マシンより前に、認証のために再起動します。
サービスの依存関係に関する仮想マシンの起動順序を定義できます。起動順序を指定することで、製品の依存関係を考慮した順序で vSphere HA が
仮想マシンをパワーオンします。
なし。
VCF-WSA-REQD-CFG-005
 インスタンスを、サポートされているアップストリーム ID プロバイダに接続します。
エンタープライズ ディレクトリを
と統合して、ユーザーとグループを
の ID およびアクセス管理サービスと同期できます。
なし。
VCF-WSA-REQD-CFG-006
クラスタ化された
を使用する場合は、ディレクトリ サービス アクセスの高可用性をサポートするため、2 番目と 3 番目の
クラスタ ノードに対応する 2 番目と 3 番目のネイティブ コネクタを構成します。
ネイティブ コネクタを追加すると、認証要求のロード バランシングによって、冗長性が確保され、パフォーマンスが向上します。
ネイティブ コネクタで、統合 Windows 認証とともに Active Directory を使用するには、各
クラスタ ノードを Active Directory ドメインに参加させる必要があります。
VCF-WSA-REQD-CFG-007
クラスタ化された
を使用している場合は、専用の Tier-1 ゲートウェイで SDDC Manager によって構成された NSX ロード バランサを使用します。
  •  を使用して
    を展開する際、SDDC Manager は、スケールアウトを容易にするため、
     の NSX ロード バランサの構成を自動化します。
SDDC Manager によって構成されたロード バランサと、
 との統合を使用する必要があります。
でのストレッチ クラスタ用
設計の要件
要件 ID
設計の要件
理由
影響
VCF-WSA-REQD-CFG-008
 アプライアンスを最初のアベイラビリティ ゾーンの仮想マシン グループに追加します。
デフォルトで、
 クラスタ ノードが最初のアベイラビリティ ゾーンのホストでパワーオンされるようにします。
  • ストレッチ管理クラスタの作成後に
    インスタンスを展開した場合は、アプライアンスを仮想マシン グループに手動で追加する必要があります。
  • クラスタ化された
    では、アクティブなアベイラビリティ ゾーンで障害が発生した後に、手動による介入が必要になる場合があります。
での NSX フェデレーション用
設計の要件
要件 ID
設計の要件
理由
影響
VCF-WSA-REQD-CFG-009
 インスタンスで DNS サーバを使用するように、
 の DNS 設定を構成します。
 インスタンス用の外部サービスが停止した場合の回復性が向上します。
なし。
VCF-WSA-REQD-CFG-010
 インスタンスで NTP サーバを使用するように、
 クラスタ ノードの NTP 設定を構成します。
 インスタンス用の外部サービスが停止した場合の回復性が向上します。
単一の
インスタンスを使用する環境から、複数の
インスタンスを使用する環境に拡張する場合は、
 の NTP 設定を更新する必要があります。
設計の推奨事項
推奨 ID
設計の推奨事項
理由
影響
VCF-WSA-RCMD-CFG-001
vSphere HA を使用して、すべての
ノードを保護します。
 の高可用性をサポートします。
なし(標準の展開の場合)。
クラスタ化された
環境では、ESXi ホストの障害が発生した場合、介入が必要になる場合があります。
VCF-WSA-RCMD-CFG-002
Active Directory を ID プロバイダとして使用する場合は、ディレクトリ サービスの接続オプションとして LDAP 経由の Active Directory を使用します。
ネイティブの(組み込みの)
 コネクタは、標準のバインド認証を使用して、LDAP 経由の Active Directory にバインドします。
  •  インスタンスが子ドメインに接続するマルチドメイン フォレストでは、Active Directory セキュリティ グループに、グローバル スコープが必要です。したがって、Active Directory グローバル セキュリティ グループに追加されたメンバーは、同じ Active Directory ドメイン内に含まれている必要があります。
  • 複数の Active Directory ドメインへの認証が必要な場合は、追加の
    ディレクトリが必要です。
VCF-WSA-RCMD-CFG-003
Active Directory を ID プロバイダとして使用する場合は、ユーザーおよびグループのベース DN への読み取り専用アクセス権が少なくともある Active Directory ユーザー アカウントを、Active Directory バインドのサービス アカウントとして使用します。
次のアクセス コントロール機能を提供します。
  •  は、ディレクトリのバインドとクエリに必要な最小限の権限セットを使用して、Active Directory に接続します。
  •  と Active Directory の間での要求/応答のインタラクションを追跡する際の責任を強化できます。
  • このアカウントのパスワード ライフ サイクルを管理する必要があります。
  • 複数の Active Directory ドメインへの認証が必要な場合は、
     Connector が LDAP 経由で各 Active Directory ドメインにバインドするために追加のアカウントが必要です。
VCF-WSA-RCMD-CFG-004
統合 SDDC ソリューションに必要なグループのみを同期するようにディレクトリ同期を構成します。
  • 各製品に必要なレプリケートされたグループの数を制限します。
  • グループ情報のレプリケーション間隔を短縮します。
 への同期用に選択したエンタープライズ ディレクトリからグループを管理する必要があります。
VCF-WSA-RCMD-CFG-005
 ディレクトリにグループが追加されたときのエンタープライズ ディレクトリ グループ メンバーの同期を有効にします。
有効にすると、エンタープライズ ディレクトリ グループのメンバーは、グループの追加時に
ディレクトリと同期されます。無効にすると、グループ名はディレクトリと同期されますが、グループにアプリケーションの使用資格が付与されるか、グループ名がアクセス ポリシーに追加されるまで、グループのメンバーは同期されません。
なし。
VCF-WSA-RCMD-CFG-006
ネストされたグループ メンバーをデフォルトで同期するように
を有効にします。
 が、エンタープライズ ディレクトリに対してクエリを実行せずに、グループのメンバーシップを更新およびキャッシュできるようにします。
グループ メンバーシップへの変更は、次の同期イベントまで反映されません。
VCF-WSA-RCMD-CFG-007
 ディレクトリ設定にフィルタを追加して、ディレクトリ レプリケーションからユーザーを除外します。
最大値の範囲内で、
 でのレプリケートされたユーザーの数を制限します。
レプリケートされたユーザー アカウントが最大値の範囲内で管理されるようにするには、ディレクトリ属性に基づいて、組織に適したフィルタリング スキーマを定義する必要があります。
VCF-WSA-RCMD-CFG-008
ユーザーが
ディレクトリに追加されたときに含まれるマッピングされた属性を構成します。
クロスインスタンス
ソリューションの認証ソースとして使用する
のディレクトリ ユーザー アカウントを同期するように、必要最小限の拡張ユーザー属性を構成できます。
組織のエンタープライズ ディレクトリのユーザー アカウントには、次の必須属性がマッピングされている必要があります。
  • firstname
    (Active Directory の
    givenname
     など)
  • lastName
    (Active Directory の
    sn
     など)
  • email
    (Active Directory の
    mail
     など)
  • userName
    (Active Directory の
    sAMAccountName
     など)
  • 別の一意の識別子(
    userPrincipalName
     など)を使用したログインをユーザーに求める場合は、属性をマッピングし、ID とアクセス管理の設定を更新する必要があります。
VCF-WSA-RCMD-CFG-009
 ディレクトリ同期の頻度を、繰り返し実行するスケジュール(15 分など)に設定します。
企業ディレクトリのグループ メンバーシップに対する変更が、統合ソリューションでタイムリーに利用できるようにします。
エンタープライズ ディレクトリから同期する時間よりも長い同期間隔でスケジュール設定します。次回の同期をスケジューリングするときに、ユーザーとグループが
に同期されている場合、新しい同期は前の同期の終了直後に開始されます。このスケジュールで、プロセスが継続します。
VCF-WSA-RCMD-SEC-001
これらの
ロール用に、対応するセキュリティ グループを企業ディレクトリ サービスに作成します。
  • スーパー管理者
  • ディレクトリ管理者
  • 読み取り専用管理者
ユーザーに対する
ロールの管理を効率化します。
  • 妥当な期間内に変更を利用できるようにするため、
     で、適切なディレクトリ同期間隔を設定する必要があります。
  • SDDC スタックの外部にセキュリティ グループを作成する必要があります。
VCF-WSA-RCMD-SEC-002
 ローカル ディレクトリ ユーザー、
admin
、および
configadmin
 のパスワード ポリシーを設定します。
企業のポリシーと規制基準に対応した、
 ローカル ディレクトリ ユーザーのポリシーを設定できます。
パスワード ポリシーはローカル ディレクトリ ユーザーにのみ適用され、組織ディレクトリには影響しません。
ポリシーは、組織のポリシーと規制基準に準拠して適切に設定する必要があります。
 クラスタ ノードにパスワード ポリシーを適用する必要があります。

Content feedback and comments