Microsoft System Center (SCVMM) 連携 - インストール編

DCNhowtoAdmin · ‎2021-10-15

ACIのコントローラであるAPICは、1.1(1j)リリース以降でMicrosoftのSystem Center Virtual Machine Manager (以下、SCVMM)との連携が可能となりました。

本ページでは、1.1(2h)を前提として、連携のための構成手順の概要をご説明します。詳細については、必要に応じて構成ガイド‘（Cisco ACI Virtualization Guide）を参考にしてください。

※1.1(1x) リリースと 1.1(2x) リリースでは、SCVMM連携を構成する際に使用するインストールファイルおよび PowerShell Cmdlet などに一部違いがあります。

前提構成

本ページでは、以下の構成のSCVMMおよびHyper-V環境を前提としています。

Windows Server 2012 R2 ベースの Hyper-Vホスト
System Center 2012 R2 の Virtual Machine Manager ※要Update Rollup 5以降 (特に問題がなければ最新)

その他、SCVMM環境に必要となるSQLやADなどは適宜構成してください。また、個別パッチ要件がある場合がありますので、最新のユーザーズガイド等を確認するようにしてください。

※Hyper-VホストとしてUCS Bシリーズを使用する場合は、ACIにおいてフォルトのInfra VLANとなっている VLAN 4093 が Fabric Interconnect によって予約されていますので、Infra VLANを変更してください。

※2015/9現在、SCVMMは英語版のWindows Server 2012 R2環境にインストールされた構成でのみ動作が確認されています。

連携の仕組み

ACIは連携の仕組みとして標準化されたNorthbound APIとSouthbound APIを備えています。そのため、SCVMM連携についても他のHypervisor連携でも使用する仕組みは共通となります。SCVMMとAPIC間の管理連携では、APIC側のREST/APIインターフェイスを使用します。また、Hyper-VホストとACIファブリックのLeafスイッチ間のホスト連携では、IETFに標準化を提案中のプロトコルであるOpFlexを使用します。

SCVMMは標準ではREST/APIのインターフェイスを持っていないため、2015/9現在の連携実装においてはSCVMMにAPIC SCVMM PluginをインストールすることによってAPICとのREST/APIを用いた連携と、SCVMMとのPowerShellを用いた連携の橋渡しを行うサービスモジュールを構成します。また、Hyper-VホストでOpFlexを使用した管理通信ができるようにするために、すべてのHyper-VホストにはAPIC Hyper-V Agentをインストールします。

このように、ACIのSCVMM連携では、APIC / SCVMM / Hyper-Vホストのすべてにおいて、Opflex certificateを用いて相互を認識・認証している点がポイントです。

インストールの流れ

ACI環境、SCVMM, Hyper-V環境、およびそれらの接続が完了している前提で、SCVMM環境をACIと連携させるための構成手順は以下のとおりです。

SCVMMに対するAPIC SCVMM Agentのインストール
SCVMMにおける OpflexAgent Certificate の生成
APICに対する Opflex Certificate ポリシーの追加
SCVMMにおける OpflexAgent Certificate の登録(確認)
SCVMMにおける APIC IPアドレスの登録
全Hyper-Vホストにおける APIC Hyper-V Agentのインストール
全Hyper-Vホストにおける Opflex Certificate の登録　※個別もしくはGroup Policyでの構成
SCVMMにおけるクラウドの構成
APICにおける SCVMMのVMMドメインとしての登録
SCVMMにおける各Hyper-Vホストの論理スイッチの構成

以下で、各ステップについてご説明します。なお、本ページで紹介している情報はあくまでも参考情報となりますので実際の導入構築時にはかならずユーザーズガイドなどを参照するようにしてください。また、本ページでは全体の流れをご理解いただくことに主眼を置いているため、詳細な入力・選択内容について細かく記載していない部分があります。

インストール手順

1. SCVMMに対するAPIC SCVMM Agentのインストール

まず初めに、SCVMMサーバにAPIC SCVMM Agentをインストールします。

[APIC SCVMM Agent.msi]インストーラを実行します。サービスアカウントは管理者権限を持ったドメインアカウントを使用してください。
[プログラムの追加と削除 (Programs and Features)]において、正しいバージョンのAPIC SCVMM Agentがインストールされていることを確認します。
サービスとして"ApicVMMService" が追加されていることを確認します。
(補足) SCVMMがクラスタ構成の場合は、"Get-ClusterResource" Cmdlet および "Get-ClusterResourceDependency" Cmdlet を用いて、サービスを確認します

PS C:\Program Files (x86)\ApicVMMService> Get-ClusterResource -Name ApicVMMService

Name State OwnerGroup ResourceType

---- ----- ---------- ------------

ApicVMMService Online SCVMM-Cluster Generic Service

PS C:\Program Files (x86)\ApicVMMService> Get-ClusterResourceDependency -Resource ApicVMMService

Resource DependencyExpression

-------- --------------------

ApicVMMService ([VMM Service SCVMM-Cluster])

2. SCVMMにおけるOpflexAgent Certificateの生成

続いてSCVMM連携において使用する認証キーを生成します。PowerShellを管理者権限で実行します。

ACI SCVMM Cmdlet をインポートする

PS C:\> cd '.\Program Files (x86)\ApicVMMService'

PS C:\Program Files (x86)\ApicVMMService> Import-Module .\ACIScvmmPsCmdlets.dll

インポートしたModuleおよび含まれるCmdletを確認する

PS C:\Program Files (x86)\ApicVMMService> Get-Module



ModuleTypeVersion Name ExportedCommands

---------- ------- ---- ----------------

Binary 1.12.0.8 ACIScvmmPsCmdlets {Set-ApicConnInfo, Get-ApicConnInfo, Set-ApicCredentials, ...

Manifest 3.1.0.0 Microsoft.PowerShell.Management {Add-Computer, Add-Content, Checkpoint-Computer, Clear-Con...

Manifest 3.0.0.0 Microsoft.PowerShell.Security {ConvertFrom-SecureString, ConvertTo-SecureString, Get-Acl...



PS C:\Program Files (x86)\ApicVMMService> Get-Command -Module ACIScvmmPsCmdlets

CommandType Name ModuleName

----------- ---- ----------

Cmdlet Get-ACIScvmmOpflexInfo ACIScvmmPsCmdlets

Cmdlet Get-ApicConnInfo ACIScvmmPsCmdlets

Cmdlet Get-ApicCredentials ACIScvmmPsCmdlets

Cmdlet New-ApicOpflexCert ACIScvmmPsCmdlets

Cmdlet Read-ApicOpflexCert ACIScvmmPsCmdlets

Cmdlet Set-ApicConnInfo ACIScvmmPsCmdlets

Cmdlet Set-ApicCredentials ACIScvmmPsCmdlets

暗号化したパスワードを生成する　※この例では、パスワードは"MyPassword"としていますが、適宜指定ください。

PS C:\Program Files (x86)\ApicVMMService> $pfxpassword = ConvertTo-SecureString "MyPassword" -AsPlainText -Force

証明キーを生成する

PS C:\Program Files (x86)\ApicVMMService> New-ApicOpflexCert -ValidNotBefore 1/1/2015 -ValidNotAfter 12/31/2020 -Email address@cisco.com -Country Japan -State Tokyo -Locality Minato-ku -Organization Cisco -PfxPassword $pfxpassword

Successfully created:

C:\Program Files (x86)\ApicVMMService\OpflexAgent.pfx

PS C:\Program Files (x86)\ApicVMMService>

証明キーを取得する　※"-----BEGIN CERTIFICATE-----"から"-----END CERTIFICATE-----"までをこれらの文字列を含めて一時的にどこかにコピーしてください

PS C:\Program Files (x86)\ApicVMMService> $pfxpassword = ConvertTo-SecureString "MyPassword" -AsPlainText -Force

PS C:\Program Files (x86)\ApicVMMService> Read-ApicOpflexCert -PfxFile "C:\Program Files (x86)\ApicVMMService\OpflexAgent.pfx" -PfxPassword $pfxpassword

-----BEGIN CERTIFICATE-----

MIIDtjCCAp6gAwIBAgIQFcOZ0i32p61M6FMiNfxc7DANBgkqhkiG9w0BAQ0FADBpMSYwJAYJKoZI

hvcNAQkBFhdtaWhpZ3VjaEBtaWhpZ3VjaC5sb2NhbDEOMAwGA1UECgwFTXlPcmcxCzAJBgNVBAgM

AkNBMQwwCgYDVQQGEwNVU0ExFDASBgNVBAMMC09wZmxleEFnZW50MB4XDTE1MDEwMTAwMDAwMFoX

DTIwMDEwMTAwMDAwMFowaTEmMCQGCSqGSIb3DQEJARYXbWloaWd1Y2hAbWloaWd1Y2gubG9jYWwx

DjAMBgNVBAoMBU15T3JnMQswCQYDVQQIDAJDQTEMMAoGA1UEBhMDVVNBMRQwEgYDVQQDDAtPcGZs

ZXhBZ2VudDCCASIwDQYJKoZIhvcNAQEBBQADggEPADCCAQoCggEBAKshXHGFRb4nYzHlsm2koEnc

KcRj8szu2QL29+3Lb8xfCT6SKKmY7zERmr+UdTRpcWk6okbltjAvMS4VYnIegGLhf/BsZBb2ew3x

rJdglqEdW0MusykQ+sgoycNdwPklAZvcgQ1i96Dh8N5DPg/CmabgMDWzoMIWuuizvlH2yiPjvebQ

2OIBuQzFYp655hhTNYNpSqOKOYlsQrU3iuZbhRI7C0Aw8qNyYi6mtCxu/oIAJlCFhqRuHrD7O7Ev

upphWlIlOUGbY2HuUfsno7TAXUivsWOqq/tv377FfV/h9obTUekGk2b34P6UGKdk7PumN+TktYzL

VZiD3nEV8VkWHlECAwEAAaNaMFgwEgYDVR0TAQH/BAgwBgEB/wIBADATBgNVHSUEDDAKBggrBgEF

BQcDATAdBgNVHQ4EFgQUuKvFsTbfMi39bKKZOLstoSy2YTkwDgYDVR0PAQH/BAQDAgEGMA0GCSqG

SIb3DQEBDQUAA4IBAQAVV9ATzd0NPadyuN/q1O/1WrDtWuT/60z/nguWt7wNZ8dnQEIdzNSbZczb

8f5OFgrL8BG6nEmIY6cFrZ2o/1AFjhY0YxOk8k7UweThisCertificatewasmodifiedbycisco!

pqtFRbbQaC61NVFZg7ArS7n1s1EJWjekffcZZZ7AIgUzMYd314znJlRkWtzzktxwQKszC+ps99vI

ePVo6p+S4ew97qX0nz83VvHotmc/9hhFUhCiLPj5PXHg0FCU5kOhFY8YdaWhFBKu/K0/OM4uveG2

/HI3/wnUEQdPjsrD2c/4/vElNQqvgYUxYcUTCHr6A42dOu1wBYarnabO

-----END CERTIFICATE-----

3. APICに対する Opflex Certificate ポリシーの追加

続いて取得した証明キーをAPICに登録します。

APIC GUIで、以下を選択します。
[ADMIN] - [AAA] - [Security Management] - [Local users] - [admin] 右クリックメニュー [Create X509 Certificate]
Name欄に"OpflexAgent"、Data欄に取得した証明キーを入力します。

※ Name欄に入力する名前は "OpflexAgent" としてください。大文字小文字を区別します。

4. SCVMMにおける OpflexAgent Certificate の登録(確認)

続いて証明キーをSCVMMサーバにインストールします。証明キーを生成したSCVMMホストでは自動的に登録されていますが、念のため確認を行ってください。複数のSCVMMが存在する場合は、共通の証明キーを使用するために証明キーのインストールを実施してください。

Microsoft管理コンソール(MMC)を実行する ( [Start]ボタンの右クリックメニューから[Run]を選択して"mmc"と入力する)
[Certificates]スナップインを追加する　※管理対象は"Computer account"
(証明キーを生成したSCVMMの場合)OpflexAgent証明キーが登録されていることを確認する
(証明キーが登録されていない場合もしくは変更した場合) OpflexAgent 証明キーを登録する
Hyper-Vホストに展開するための証明キーをエクスポートします。

5. SCVMMにおける APIC IPアドレスの登録

続いてAPICのIPアドレスをSCVMMサーバに登録します。登録はPowerShellのCmdletを用いて行います。

※以下のコマンドを実行する前に、2. を参照して ACI SCVMM PowerShell Cmdletをインポートしてください。

"Set-ApicConnInfo" Cmdletを用いてAPICの登録を行います。APICがクラスタ構成となっている場合は、; (セミコロン)で区切って一括で登録することが可能です。
"Apic Credential is successfully set to APIC SCVMM service agent." と成功のメッセージが表示されることを確認してください。

PS C:\Program Files (x86)\ApicVMMService> Set-ApicConnInfo -ApicNameOrIPAddress 192.168.1.1;192.168.1.2;192.168.1.3 -CertificateSubjectName OpflexAgent

Apic Credential is successfully set to APIC SCVMM service agent.

登録状況の確認は "Get-ApicConnInfo" Cmdlet を用いて確認することが可能です。

PS C:\Program Files (x86)\ApicVMMService> Get-ApicConnInfo

EndpointAddress :

Username :

Password :

ApicAddresses : 192.168.1.1;192.168.1.2;192.168.1.3

ConnectionStatus : Connected

adminSettingsFlags : 0

certificateSubjectName : OpflexAgent

ExtensionData :

6. 全Hyper-Vホストにおける APIC Hyper-V Agentのインストール

続いてすべてのHyper-VホストでAPIC Hyper-V Agentのインストールを行います。

[APIC Hyper-V Agent.msi]インストーラを実行します。特に入力パラメータはありません。[I accept the terms in the License Agreement]にチェックをつけて[Install]をクリックしてください。
[プログラムの追加と削除 (Programs and Features)]において、正しいバージョンのAPIC Hyper-V Agentがインストールされていることを確認します。
サービスとして"ApicHypervAgent" が追加されていることを確認します。

7. 全Hyper-Vホストにおける Opflex Certificate の登録

続いて証明キーをHyper-Vホストにインストールします。手順は、基本的にSCVMMホストに対する証明キーのインポート手順と同一です。インポートする証明キーは、4. でエクスポートしたものを使用してください。Hyper-Vホスト数が多い場合などは、グループポリシーを使った証明キーの配布などで行うことも可能です。

8. SCVMMにおけるクラウドの構成

続いてSCVMMホストにクラウドを事前に構成しておきます。クラウドのリソースとしてACI Fabricに接続されているHyper-Vホストを含むホストグループを紐付けてください(All Hostsでもかまいません)。