• [アーティクル]

ユーティリティ スポットライトOffline Virtual Machine Servicing Tool

Peter Skjøtt Larsen、Suveen Kumar Reddy Vuppala

目次

セキュリティに関する悪夢
内部的な処理
サービス インフラストラクチャ
ツールを使用する
今後について

コンピュータのワークロードを仮想化するということは、仮想マシン (VM) を使用して、基盤となるハードウェアからワークロードを分離することです。現代の IT 部門では、次のような多くの状況で VM が役に立つと考えられています。

ワークロードの切り替え : VM を使用すると、使用上のニーズが変化した場合に、それに応じてハードウェアを変更することなく、複数の構成のワークロード処理能力を簡単に増減できます。

アプリケーションの開発とテスト : 各構成専用のハードウェアを用意することなく、アプリケーションがサポートする必要がある各構成を代表する複数の VM を作成できます。

ソフトウェアのアップグレード : VM を使用すると、1 つのハードウェア上で、以前のバージョンのソフトウェア パッケージをオフラインにしているときに新しいバージョンをオンラインにすることができます。

ソフトウェアの配布 : テスト済みパッケージに一貫性のあるソフトウェアが連携している基幹業務アプリケーションの配布単位として、VM を使用できます。

セキュリティに関する悪夢

VM を使用するメリットの 1 つは、VM イメージとしてオフライン状態で保存できることです。そして、必要なときに、このような VM をオンラインにして、これに相当する物理コンピュータを展開するよりもはるかにすばやく展開することができます。

しかし、増加し続けるコンピューティング環境をオフライン状態で保持していると、メンテナンス上の課題が発生します。多くのソフトウェア更新メカニズムでは、更新プログラムを確認したり自動的に更新プログラムを受信したりするには、システムがオンラインである必要があります。

オンラインでないときの VM は、コンピュータに格納されている単なるファイルでしかないので、更新メカニズムが作用することはありません。したがって、数か月間オフラインになっていた VM がオンライン状態になると、ネットワークにとって脅威となる場合があります。また、このような VM にとってネットワークが脅威となる場合もあります。

問題は、OS の更新プログラムが適用されていないということだけではありません。古くなったアプリケーションやウイルス プロファイルによって、VM が脆弱になったり各企業のセキュリティ基準を満たさなくなったりする場合があります。

ユーザーがオフラインの VM を最新の状態に保てるようにするため、マイクロソフト ソリューション アクセラレータ チームは Offline Virtual Machine Servicing Tool を作成しました。このツールは、System Center Configuration Manager (SCCM) 2007、Windows Server Update Services (WSUS) 3.0、および System Center Virtual Machine Manager (VMM) 2007 と連携して、保存されている VM の更新プロセスを適切に行います。図 1 は、このツールの概念図と、このツールとさまざまな外部コンポーネントとの関係を示しています。

fig01.gif

図 1 Offline Virtual Machine Servicing Tool のしくみ (画像をクリックすると拡大表示されます)

VM に更新プログラムを適用できるようにするため、このツールでは VMM を使用して一時的に VM をメンテナンス ホストに展開します。通常、メンテナンス ホストには、複数の VM を同時に実行するのに必要な CPU やメモリが搭載されているので、このツールでは複数の VM をまとめて処理することができます。

メンテナンス ホスト上で VM がアクティブになったら、SCCM または WSUS によって必要な更新プログラムを VM に適用することができます。更新プログラムが適用されると、このツールでは VMM を使用して VM をオフライン状態に戻します (このツールでサポートされているのは、VMM によって管理されている VM のみであることに注意してください)。

内部的な処理

Offline Virtual Machine Servicing Tool では、VM の更新プロセスを適切に処理するために Windows Workflow Foundation (WF) を使用しています。このプロセスでは、適切な更新管理システムの選択から始まって、該当 VM に適した次に使用可能なメンテナンス ホストの選択、更新プログラムが適用されたことの確認、例外の処理に至るまで、多くの判断を行う必要があります。

Windows WF ベースのソリューションを使用することにより、開発チームは非常に柔軟にプロセスを変更したり進化させたりすることができました。また、ニーズに合わせて調整できる堅牢なソリューションがユーザーに提供されます。プロセスの重大な局面で、更新前および更新後の組み込みのワークフロー手順を使用してカスタマイズを行うことができます。

このツールは、Windows PowerShell を使用してワークフローより下のレベルで個々のタスクを実装し、VMM によって提供される Windows PowerShell API とうまく対応します。また、Microsoft .NET Framework ベースの UI は外観や使い勝手が System Center 製品と似ているので、初めての方でも問題なくお使いいただけます。

サービス インフラストラクチャ

サービス インフラストラクチャの基本原則の 1 つは、更新プロセス中に VM が保護されるようにネットワーク セキュリティを構成することです。このツールのバージョン 1.0 では、VMM や更新システム (WSUS または SCCM) が接続している仮想プライベート ネットワーク (VPN) を使用して VM を保護していました。VMM ライブラリに最適なインフラストラクチャは、ファイバ チャネル接続の記憶域ネットワーク (SAN) です。これを使用すると、VM イメージをメンテナンス ホストに高速転送することができます。

すべての VM が、Active Directory と DNS を使用する、同じドメインのメンバである必要があります。VMM、WSUS、SCCM、VMM ライブラリのそれぞれに別々のサーバーを使用することもできますが、小規模な環境では複数の仮想サーバーを組み合わせて使用することもできます。言うまでもないことですが、メンテナンス ホストは物理サーバーである必要があります。

ツールを使用する

サービス インフラストラクチャをセットアップしたら、ツールを起動する前に、いくつかの設定が適切に構成されていることを確認する必要があります。処理対象の VM がすべて VMM で管理されていること、各 VM に適切な更新クライアントがインストールされていること、WSUS または SCCM で、必要な更新プログラム パッケージが構成されていることを確認します。VMM でメンテナンス ホストのグループが構成されていることを確認するのは、必須ではありません。

設定を確認したら、Offline Virtual Machine Servicing Tool を起動します。このツールでも、いくつかの構成手順を実行する必要があります。VMM サーバーと、適切な WSUS サーバーまたは SCCM サーバーを指定し、使用するメンテナンス ホストのグループ (メンテナンス ホストのグループを構成している場合) とそのグループのどのメンテナンス ホストを使用するかを指定する必要があります (図 2 参照)。管理する VM のグループを構成することもできますが、これは必須ではありません。

fig02.gif

図 2 Offline Virtual Machine Servicing Tool を構成する (画像をクリックすると拡大表示されます)

ツールを構成したら、サービス ジョブを作成します。サービス ジョブには、特定の VM を管理するのにツールで必要となる情報がすべて含まれています。この情報には、WSUS と SCCM のどちらを更新プロセスに使用するか、VMM サーバーの場所と WSUS サーバーまたは SCCM サーバーの場所、管理する VM の ID、更新プロセスに使用するネットワークの種類 (および必要に応じて ID)、使用するメンテナンス ホストの ID などがあります。また、VM、VMM サーバー、および WSUS サーバーまたは SCCM サーバーへのアクセスに必要なアカウント資格情報、サービス ジョブの実行スケジュール (すぐに実行する、または特定の日時に実行する) などの情報もサービス ジョブに含まれています。

サービス ジョブを特定の日時に実行するよう指定すると、Windows タスク スケジューラによってジョブが実行されます。サービス ジョブの実行時に、Offline Virtual Machine Servicing Tool では、VM ごとに次の一連の手順を実行します。

  • VMM ライブラリから次の VM を選択します。
  • 最適なメンテナンス ホストを VMM に照会します。
  • VM をメンテナンス ホストに展開します。
  • VM が適切なネットワークに接続するようにします。
  • VM を起動します。
  • 適切な更新クライアントが VM にインストールされていることを確認します。
  • 更新プロセスを起動します。
  • 更新プロセスが完了するのを待ちます。
  • VM をシャットダウンします。
  • VM を VMM ライブラリに再び保存します。

VM のライブラリを更新するのにかかる時間は、メンテナンス ホストの数と処理能力、VMM ライブラリの記憶域のアクセス速度、および更新の種類によって大幅に異なります。

今後について

現在のバージョン (1.0) の Offline Virtual Machine Servicing Tool では、VM をネットワークから保護する非常に魅力的な方法であるネットワーク アクセス保護 (NAP) がサポートされていないことに注意してください。また、Windows Server 2008 の Hyper-V テクノロジはサポートされておらず、クライアント OS として Windows Server 2008 を使用することもサポートされていません。

新しいバージョンの SCCM、WSUS、および VMM が間もなく提供される予定です。また、Offline Virtual Machine Servicing Tool のバージョン 2.0 では、こうした新しいバージョンや Hyper-V がサポートされ、クライアント OS として Windows Server 2008 を使用することもサポートされる予定です。また、ネットワーク分離を実現するために NAP もサポートされる予定です。Offline Virtual Machine Servicing Tool は、technet.microsoft.com/cc501231 からダウンロードできます。

Peter SkjØtt Larsen は、マイクロソフトでシニア プロダクト マネージャを務めています。マイクロソフトに入社する前は、電気通信運用ソフトウェア システムの設計と開発、およびワイヤレス サービスの標準化と開発に携わっていました。

Suveen Kumar Reddy Vuppala は、マイクロソフトでシニア ソフトウェア開発エンジニアを務めています。以前はリアルタイム監視ツールの設計と開発に携わっており、過去 7 年間にわたってマイクロソフトの展開ソリューションの設計と開発に携わってきました。