VMware VCP6 受験記(2V0-621 / VCP6-DCV)
色々なタスクに追われていますが、
VMware VCP 認定資格の新制度を完全に誤解してまして、ちょうど昨日、緊急で VCP6 に更新してきました。
1か月前に来たこのメールを見ても、「VCP。しかも 5.x なら別に失効してもいいや」と完全に無視していたのですが、これは認識不足だったみたいです。
9. 認定資格が失効した後も VCP ポータルにアクセスできますか
https://mylearn.vmware.com/mgrReg/plan.cfm?plan=48331&ui=www_cert
いいえ、アクセスできません。
10.認定資格が失効した後に、試験を受けて認定資格を復活できるような猶予期間はありますか
いいえ。認定資格が失効した後に猶予期間はありません。認定資格を再度有効にするには、それぞれの認定に必要な前提条件をすべて満たす必要があります。
これに加え、VCAP まで失効してしまうらしい。
そして、これを知ったのが失効までちょうど 5 日前の 10 月 21 日。
どの試験で更新するか?
基本的に VCP クラス以上の試験であれば何でも良いようです。
DCV (vSphere) と Desktop (View) の資格を持っている私の場合は 4 つの選択肢がありました。
- NSX 試験(日本語)
- vCloud 試験(日本語)
- vSphere 5.5 試験(日本語)
- vSphere 6.0 試験(英語)
私の場合、失効まで本当に残り 5 日間しか無いうえ、上 2 つは正規トレーニングを受講したこともなく、自習するための実機環境も無いためパス。
vSphere 5.5 と 6.0 は悩んだのですが「VCP5 持ってるし、5.5 も無いか」ということで 6.0 を選択しました。
勉強日数・内容
- 少なくとも 10〜12 時間は集中して費やしました。
- 試験概要ページ の Exam Topics にあるマニュアルの日本語版を探し、
英語 UI にした実機で確認しながら熟読。
試験について
せっかく取ったのに剥奪されたくないのでほぼ書けませんが、、、
- 本来 95 分のところ、ネイティブではないと宣言すると 30 分プラスしてくれる
- vSphere Replication や VSAN、vROps も出た
- 複数選ぶ問題が多かった気がする
- スクリーンショットが拡大できず、荒くて読めないものが多かった
- 日本語化の際に撮りなおされるかも?
- Web に掲載されていた プロモーションコード は使えなかった
- 有償の Exam Prep コースを受けないとダメなのかもしれない
コマンドや引数を問うものなど、正直分からない問題もあったのですが、
全問正解しないと合格しないわけではない ので、捨てればよいだけです。
失効日ギリギリ(残り 0 日)で取ったため、ぴったり 2 年間延長。
※ VCAP4・VCAP5 が載ってないのだけど、なんでだろう。。。
USB ブートのフラッシュメモリが壊れるとこんな感じ - vSphere 6.0 編
USB メモリや SD カードといった「フラッシュメモリ」に ESXi や Hyper-V ハイパーバイザーをインストールできることはよく知られています。
「ゲストはストレージ側に入れるんだし、ブートのためだけに内蔵ディスクや RAID コントローラーを買うのはもったいない」というコスト由来のもので、仕組みも SAN ブートに似ています。ただ、個人的には SAN ブートにするのであれば USB ブートの方が圧倒的におススメです。
実際のところ、USB ブートを好む SIer と嫌う SIer が居るのですが、最近では VMware Virtual SAN や Windows Storage Spaces など、内蔵ディスクのスロットを少しでも無駄にしたくないという案件や、またハード側も SD カード 2 枚挿しで冗長構成をとれる機種も増えており、少しまた伸びてきている印象です。
vSphere ESXi ハイパーバイザーの稼働設計
下図はいまから4年前、vSphere 5.0 のときに自分が書いた本の切り抜きです。
ESXi ハイパーバイザーはこのようなアーキテクチャーで稼働しています。
- ハイパーバイザー起動時にメモリに全部ロードしてしまうので、USBブートでもHDDブートでも基本的な動きは変わらない
- 稼働中はインメモリ(RAMディスク)で運用され、不揮発領域への書き出しはリアルタイムに行わないなど、フラッシュメモリの寿命を考慮している
HDDに比べるとフラッシュメモリは消耗しやすく、書き込みが多いと寿命が来てしまうため、ブート時・シャットダウン時以外のアクセスはできる限り減らすよう考慮されているのが特徴です。
運用中にフラッシュメモリが壊れるとこんな感じ
「考慮されている」といっても、絶対に壊れないはありません。
私のマシンのうち、検証用の一部は転がっていた市販のSDカードで運用していたのですが*1、純正品ほどの品質は無かったのか、運用中に壊れてしまいました。
エラーメッセージ(vSphere 6.0)
エラーレベルとしては黄色の「警告」扱い
ストレージ設定画面ではこういう状態
ハイパーバイザーはインメモリ。つまりフラッシュメモリから DIMM の方にコピーされているため、フラッシュメモリに障害が発生しても仮想マシンに直接の影響はなく、ホスト自身も動き続けるようです。
メンテナンスの時間が取れず2週間以上そのまま放置していますが、ホストも稼働中の 100 台超の仮想マシンも何ら問題は発生していません。ブートディスクが壊れているため、ホストの再起動は考慮が必要ですが、これはこれで興味深い。
書いていてふと思いました。
メディア破損(いわゆる物理セクタ障害)とは動きが違うかもしれませんが、サーバーの背面ポートに USB メモリを挿して、稼働中に抜いてみると簡単に再現できますね。。。
USB ブートで運用している Hyper-V もあるので、こちらも運良く (?) 障害に遭遇してたら、状況をまた記事にしたいと思います。
*1:多くのサーバーベンダーでは、純正以外のSDカードの利用することはサポート対象外になります
vSphere 6.0 の覚え書き - Web Client の右クリックメニューが邪魔される件
ちょうど半月以上前に私の検証用の VMware 環境がおかしくなりました。言葉で説明するよりも、画面をご覧になった方が早いかもしれません。
vSphere 6.0 における Web Client の機能強化の一つに「右クリックメニュー」があります。これが私の環境で動かなくなったというか、Adobe Flash の右クリックメニューが同時に働いてしまい、隠れてしまうといった問題です。
Twitter で色々とコメントをいただきながら治らず、あきらめて別の端末から操作していたのですが、今週からついに全端末で発生しだしたので vCenter Server を再構築したり色々と切り分けていました。
先週末にようやく、、、原因を掴めましたので、
被害者を増やさないように共有しておきたいと思います。
原因は Windows Update
結論から言うと、原因はコレのようです。
2015/7/15 頃から Windows Update で配布されている Flash Player の更新 KB3079777 を適用してしまうと、現象が発生する様子。*1
マイクロソフト セキュリティ アドバイザリ: Internet Explorer 上の Adobe Flash Player の脆弱性に対応する更新プログラム (2015 年 7 月 15 日)
https://support.microsoft.com/ja-jp/kb/3079777
困ったことに、この KB3079777 は少し話題になった ゼロデイ脆弱性 の対策バージョン (v18.0.0.209) ですので、オプションではなく 重要 レベル。
重要レベルのパッチは Windows Update では既定でインストール対象にチェックされているため、何も考えないと勝手に適用されてしまいます。
修復方法
脆弱性を気にしないのであれば、誤ってインストールしてしまっても「プログラムと機能」からアンインストールできますのでロールバック可能です。
※ 7/8〜7/15 に一般配布されていた KB3065823 (v18.0.0.203) を適用していた場合は、こちらもアンインストールしなければダメそうです。
これで私の環境はほぼ全部修復できたのですが、
メインの端末だけは上手く治らず、今日もこんな感じで頑張ってます。。
Google Chrome は Windows 標準 Flash Player を使わないので大丈夫ですが、Web Client に限っては IE の方がサクサク動くのでどうにかして欲しいところ。
早く HTML5 にしてくれないかなぁ。。。
2015.08.17 追記)
別途ご質問いただいたバージョンのご質問の件、とりあえず下記は大丈夫です。なかなかピンポイントなバージョンに合わせづらいですが、、、
2016.07.31 追記)
1年掛かりましたが、本件解決しました。詳しくは こちら にて。
*1:Windows 8 / Windows Server 2012 より、IE 用 Flash Player は Windows OS に統合された関係で、Windows Update で更新されるようになっています。
vSphere 6.0 の覚え書き - Windows 認証で Cannot get user info エラー
ご存じのとおり、VMware vCenter Server のユーザー認証には「Windows セッション認証」機能が備わっています。
MS 系の管理ツールに多いのですが、アクセス元 端末に現在ログインしている Windows アカウント情報を送ることで、ユーザー名やパスワードをいちいち入力しなくてよい、シングルサインオン (SSO) の一種です。
VMware もかなり昔から vSphere Client (C#) などでこの機能を備えており、新しい Web Client でもこの機能は使えます。
Cannot get user info でログインエラー
しかしながら、私の環境の中で VCSA 6.0 で動いている vCenter Server へは次のエラーで C# Client からの SSO ができなくなってしまいました。*1
一般的なシステム エラーが発生しました: Cannot get user info
A General System error occurred: Cannot get user info
↓
本問題は、検索すると対処方法が見つかります。
下記を参考に、VCSA 6.0 に SSH 経由でログインして /etc/nsswitch.conf を少し弄ってデーモン再起動するだけです。
Web Client で右クリックが邪魔される問題
上記と違い、ここ半月以上悩まされている問題があります。
ようやく原因を見つけましたので、近いうちにご報告したいと思います。
(2015.8.10 追記)こちら に書きました。
ガートナー社による仮想化製品の格付け 「Magic Quadrant」 2015年版
毎年恒例 「Gartner Magic Quadrant」。
例年通り、今年も夏の初めに
x86 仮想化製品の新版が公開されました。
2011 年版の記事は こちら
2012 年版の記事は こちら
2013 年版の記事は こちら
2014 年版の記事は こちら
2015 年の格付け結果は...
Magic Quadrant for x86 Server Virtualization Infrastructure (July 2015)
http://www.gartner.com/technology/reprints.do?id=1-2JFZ1KP&ct=150715
Source: Gartner (July 2015), Magic Quadrant for x86 Server Virtualization Infrastructure
昨年までの遷移はこちらです。*1
Gartner でいう「安定期」に入っているだけあり、さすがにもう硬直状態です。
これまで Microsoft が本気を出すと先行メーカーは速攻で駆逐されてきましたが、ある程度大きな市場にもかかわらず「時代は クラウドファースト だし!」と Microsoft はオンプレよりパブリックに傾いていますので、1位が入れ替わることは当分来ないでしょう。
テクノロジーもありますが、VMware 社は何より営業担当者のモチベーションを高め・維持させるセールスストラテジーに長けていると感じます。
なお、そのクラウドファースト市場はこんな感じです。
Source: Gartner (May 2015), Magic Quadrant for Cloud Infrastructure as a Service, Worldwide
データセンターインフラ製品の格付け
例年どおり、データセンターインフラ (Server, Storage, Networking) の最新 MQ を載せておきます。
サーバー
Source: Gartner (May 2015), Magic Quadrant for Modular Servers
ガートナーはこれまで、HP / IBM / Cisco で三強だった Blade Server のみ調査していましたが、下記のような様々なサーバーが登場していることから、「Modular Servers」としてリニューアルされ、順位が少し入れ替わりました。
- "bricks" server ... Density-Optimized、Multi-node、Hyper-Converged など
- "cartridges" server ... HP Moonshot など
ストレージ
Source: Gartner (November 2014), Magic Quadrant for General-Purpose Disk Arrays*2
最近、ストレージは SSD の低価格化による All Flash が流行りです。Gartner も昨年より「Magic Quadrant for Solid-State Arrays」をリリースしています。
Source: Gartner (June 2015), Magic Quadrant for Solid-State Arrays
ネットワーク
Source: Gartner (May 2015), Magic Quadrant for Data Center Networking
毎年のことながら、DC ネットワークはかなり日本とのギャップを感じます。
*1:https://twitter.com/rspruijt/status/519867925709484032/ より
*2:reprint の公開が無いため HDS による再頒布版
vSphere 6.0 の覚え書き - vCenter Server 中間 CA 環境でホスト追加できない
一昨日、vCenter Server 6.0 の CA 機能(VMCA)をオレオレから正規 CA で署名する手順を紹介しましたが、少し考慮点があるようです。
海外のエンジニアも早々に 言及 していますが、
とのこと。
私もハマりましたので、こちらも残しておきます。
vCenter 6.0 環境でホストの追加します。
途中、下記のようにホストの SSL 証明書の置き換えが伝えられます。
しかしながら、VMCA を中間認証局に設定してから 24 時間以内の場合は、
次のエラーでホストの追加に失敗してしまいます。
一般的なシステムエラーが発生しました:
Unable to get signed certificate for host: hostname.fqdn.
Error: Start Time Error (70034).
クリックすると拡大します。
24 時間経過後に実行すると、今度は問題なく成功します。
クリックすると拡大します。
マニュアルにもあるとおり、
vCenter の SSL 証明書を置き換えはホストを追加する前に実施した方が良い
のですが、この不具合により作業後 24 時間は次のステップに進めません。
いずれ修正されると思いますが、
それまでは構築作業が一日ストップしかねないのでご注意ください。
vSphere 6.0 の覚え書き - vCenter Server の SSL 証明書を正規版に差し替える
- vCenter Server 5.0 の SSL 証明書
- vCenter Server 5.1 for Windows の SSL 証明書
- vCenter Server 6.0 の SSL 証明書(本番環境)
- vCenter Server 6.0 の SSL 証明書(検証環境)
以前より何回か紹介した vCenter オレオレ証明書 の差し替え手順が、vSphere 6.0 でまた大幅に方法が変わったようです。
備忘録を兼ねて残しておきます。
vSphere 5.5 はアプライアンス版であれば驚くほど簡単になったと喜んでいたのですが、vSphere 6.0 ではオレオレ証明書というか、vCenter Server 自体に「VMCA」という認証局機能が搭載されています。
つまり、オレオレCA に格上げされてしまいました。
したがって、vSphere 6.0 では単なる SSL サーバー証明書の署名というより、vCenter VMCA を中間認証局として署名する作業となります。
http://pubs.vmware.com/vsphere-60/topic/com.vmware.vsphere.security.doc/...
なお、CA になったことからも推察できるとおり、vCenter Server の管理下になった ESXi ホストは SSL 証明書が自動で置き換えられるそうです。
ですので、社内 CA など正規の SSL 証明書を使う予定の場合は vCenter Server インストール後速やかに作業する ことを強くお勧めします。
※ vCenter はアプライアンス版(VCSA)を想定しています。
※ 所要時間は 20 分弱です(証明書関連に明るい場合)。
CSR の生成
vCenter Server 6.0 は、アプライアンス版・Windows 版共に CSR を自動生成してくれる「vSphere 6.0 Certificate Manager」が付属しています。
1. ssh で VCSA に接続します。ユーザーは administrator@vsphere.local ではなく、必ず root でログインしてください。
2. 表示される画面のとおりに bash シェルを有効にします。
3. 警告が表示された後 [vcserver:~ #] のプロンプトに変われば OK です。。
4. /usr/lib/vmware-vmca/bin/certificate-manager を実行します
5. 2. Replace VMCA Root Cert... を選択します。
6. SSO のパスワードを入力し、1 Generate Certificate Sign... を選択します。
7. /tmp などの適当な場所に出力し、一旦ツールを終了します。
8. 出力された CSR をダウンロードします。
※ WinSCP を利用する場合は KB2107727 の方法でログインシェルを一時的に変える必要がありますが、ファイルの中身はテキストですのでターミナル上でクリップボードコピーしても構いません。
CSR による署名
私の環境(Windows Server 2012 R2 ADCS)の場合、
KB2112009 にあるような専用のテンプレートを用意しなくても、既定の「下位の証明機関」テンプレートで要件を満たしていました。
署名されたファイルは単体ではなく、チェーン (*.p7b) でダウンロードします。DER と BASE64 はどちらでも構いません。
PEM ファイルの生成
上から「VMCA」「上位CA」「ルート証明書」と BASE64 文字列が並ぶ PEM 証明書を生成します。
1. 先ほどダウンロードした *.p7b ファイルをダブルクリックで開きます。
2. スナップインにて、2つの証明書それぞれを X.509 BASE64 で出力します。
3. 以前の記事 を参考にしつつ、CA 証明書チェーン certnew.p7b をダウンロードし、こちらも X.509 BASE64 で出力します。
4. 「2 で出力した CA」→「2 で出力したもう片方」 → 「3 で出力した CA 証明書チェーン」 の順で 単一のテキストファイル に統合します (concat) 。
PEM ファイルのアップロード
1. SCP やクリップボードを通じて PEM ファイルを転送します。
2. 再び certificate-manager を実行し、2 → 2 の順に選択します。
3. PEM ファイルと KEY ファイルの場所を指定します。KEY ファイルは CSR を出力したディレクトリにあるはずです。
4. 証明書の発行先情報を埋めると、証明書の置き替えが開始され、vCenter サービスが再起動します。
上記のメッセージが出たら、置き換え正常終了です。
ブラウザを開いて証明書エラーが出ないことを確認してください。
階層構造は左のようになるはずです。
なお、執筆時点の vCenter 6.0 では、vCenter Server を中間 CA にしてから 24 時間は ESXi ホストを追加できない不具合があるようです。詳しくは こちら で。
中間 CA の証明書入手と登録(2015.8.9 追記)
利用中の PKI 構造によっては、上記手順を完了してもまだ証明書エラーになることあります。この場合は当該 PC に中間 CA 証明書のインポートが必要です。
中間 CA 証明書は https://vCenterサーバーのFQDN/ の「信頼されたルート CA 証明書をダウンロード」のリンクからダウンロード可能です。
ダウンロードファイル名は「download」と拡張子は付いていませんが、zip ファイルですので、.zip を付けて解凍すると、複数のファイルが格納されています。拡張子が「0」のファイルが CA 証明書ファイル、「r0, r1, ...」のファイルの CRL 失効リストです。
MMC 証明書スナップインを起動し、最も新しい「0」ファイルとそれに対応する CRL リストをコンピュータアカウントの証明書ストア 中間証明機関 に登録してください。
参考情報:
- KB2097936 - Understanding and using vSphere 6.0 Certificate Manager
http://kb.vmware.com/kb/2097936 - KB2107727 - Error when uploading files to vCenter Server Appliance using WinSCP
http://kb.vmware.com/kb/2107727 - KB2112009 - Creating a Microsoft Certificate Authority Template for SSL certificate creation in vSphere 6.0
http://kb.vmware.com/kb/2112009
