Lab Managerの運用と管理
ユーザーおよびグループの管理
ここでは、Lab Managerにアクセスするユーザーを管理する方法を紹介します。Lab Managerにアクセスするユーザーを管理する手法は大きく分けて2つあります。1つ目はLab Manager上で作成したユーザーでログインする方法、2つ目はLDAPサーバ上で管理しているユーザー、グループを使用してログインする方法です。
注意事項として、Lab Manager上のユーザーを使用する場合には、あくまでユーザー単位で設定する必要があります。理由は、Lab Manager上にグループを作成する機能がないためです。そのため、例えばLab Managerを使用するユーザーが50人いる場合、50人分のユーザーの設定を行わなければならないため、非常に面倒な作業となります。
複数のユーザーを1つのグループにまとめ、グループに対してアクセス権の設定をするには、外部のLDAPサーバと連携することで可能になります。Lab Managerは、Active DirectoryまたはOpenLDAPに対応しています。以下では、LDAPサーバとの連携方法を紹介します(事前にLDAPサーバの準備が必要です)。
[6-1]左ペインで[Settings]を選択し、[LDAP]タブをクリックします。
|
|
[6-2][LDAP Connection]内の項目に必要な情報を入力し、[OK]ボタンをクリックします。
|
|
- [Server]……LDAPサーバのホスト名もしくはIPアドレス
- [Port]……ポート番号を入力。デフォルトの場合は空白
- [Base Distinguished Name]……ベースとなる識別名。例えば、ドメイン名がnwedub.com 、その配下にlab managerという名前でOUを作成している場合は、次のように入力します。OU=lab manager,DC=nwedub,DC=com
- [LDAPS]……LDAP over SSL を使用する場合選択
- [Authentication Method]……LDAPサーバの認証方法
- [User Name]……LDAP サーバへ接続する際に使用するユーザー
- [Password]……パスワード
- [Syncronization Every]……LDAP サーバと同期する頻度
以上でLDAPサーバの設定は完了です。今回の構成では、AD上にlmusersというグループを作成しています。そのグループをLab Managerにインポートすることが可能です。手順は以下のとおりです。
[6-1]左ペインでユーザー、グループの設定を実施したい組織を選択し、[Users and Groups]をクリックし、[Groups]タブをクリックします。
|
|
[6-2][Import Groups]をクリックし、検索ワードを入力し(空白でも可能)、[Search]をクリックします。
|
|
[6-3]LDAPサーバ上のグループが表示されるため、グループを選択し、[Add]をクリックします。
|
|
[6-4]このグループに割り当てるロールを選択し、[OK]をクリックします。
|
|
※注意:表示されるロールの数は、現在選択している組織によって異なります。組織で[Global]を選択している場合は、選択できるロールは2つだけです。それ以外の組織を選択している場合は、5つのロールの中から選択が可能です。
以上でLDAPサーバ上のグループのLab Managerへのインポートは完了です。今後、割り当てられたロールの持つ権限をグループに所属するユーザーは実行できるようになります。
ロールの管理
先にLab Managerへのユーザー、グループの割り当ての方法を紹介しました。ユーザーもしくはグループを組織に割り当てる際には、ロールというものを定義する必要があります。ロールとは、権限の集合体です。ユーザーは、自分に割り当てられたロールが持つ権限を実際に実行することが可能です。Lab Managerではデフォルトで6つのロールが用意されています。
| ロール名 | 概要 |
|---|---|
| System Administrator Lab Manager | システムの管理者。すべての権限を持つ。Global組織にのみ割り当て可能。 |
| Administrator | 組織、ワークスペース内ですべての権限を持つ。System Administratorに比べて、一部権限が少ない。 |
| Template Creator | 仮想マシンテンプレート、ネットワークテンプレートなどの作成権限を持つ。 |
| Application Owner | 仮想マシンテンプレートからコンフィグレーションを作成する権限を持つ。 |
| User | コンフィグレーションを使用する権限を持つ。 |
| View Only | ワークスペースをViewする権限を持つ。 |
また、デフォルトで用意されているロールを使うだけではなく、管理者のほうで独自にロールを作成することも可能です。そうすることで柔軟にアクセス権を設定できます。
ロールについては、Lab Managerの左ペインで[Roles and Rights]から確認および新規にロールの作成が可能です。ロールを作成しておけば、組織にユーザー、グループを割り当てる際に、ロールの選択肢の中に項目が追加されます。以下はロール作成の手順です。
[7-1]左ペインで[Roles and Rights]をクリックします。
|
|
[7-2][New Role]をクリックし、ロール名を入力し、ロールに持たせる権限を選択し、[OK]をクリックします。
|
|
[7-3]ロールが作成されたことを確認します。
|
|
以上でロールの作成は完了です。組織などにユーザーを割り当てる際に、ロールの選択肢として作成したロールが表示されるようになります。
ネットワークテンプレート
ネットワークに関して、初期セットアップ時には物理環境と通信のできる物理ネットワークの設定を行いました。これまではコンフィグレーションを作成するときにはその物理ネットワークだけを利用しましたが、物理ネットワークには接続する必要のないコンフィグレーションも存在するでしょう。その場合は、Lab Managerではネットワークテンプレートを作成することで、外部と疎通しないインターナルの環境を作成できます。また必要であれば、内部ネットワークにコンフィグレーションは接続し、外部ネットワークにマッピングすることで内部ネットワークに接続しながら外部と通信できるようにすることも可能です。
以下では、ネットワークテンプレートの作成方法について紹介します。
[8-1]左ペインで内部ネットワークを作成したい組織を選択し、[Network Templates]をクリックします。
|
|
[8-2]必要な情報を入力し、[OK]をクリックします。必要な情報は物理ネットワークの設定とほぼ同様です。
|
|
[8-3]ネットワークテンプレートが作成されたことを確認します。
|
|
以上でネットワークテンプレートの作成は終了です。この際、物理ネットワークとは異なり、ESX(i)上に事前に内部仮想スイッチを作成する必要はありません。
ユーザーはコンフィグレーションを作成する際に、接続先のネットワークとして作成したネットワークテンプレートを選べるようになります。そうすると自動的にLab ManagerがESX(i)上に内部仮想スイッチを作成し、仮想マシンはその内部仮想スイッチ上のポートグループに対して接続される形になります。
テスト、開発環境では、限られた台数のマシンだけが接続できればよいというケースも多いでしょう。その場合、ネットワークテンプレートを作成することで柔軟に対応できます。また、事前に仮想スイッチの設定をする必要がなく、Lab Manager側の操作だけて新しいネットワークが作成できるため便利です。
◆◇◆◇ コラム:ライフサイクルの管理 ◆◇◆◇
Lab Managerでは、コンフィグレーションやテンプレートなどを作成したり、デプロイするタイミングで有効期限を設定したりすることが可能です。コンフィグレーションを作成する画面で以下の設定値を入力することにより、期限設定が有効になります。
[Deployment Lease]や[Storage Lease]の設定では、それぞれ[1 Hour][12 Hours][1 Day][7 Days][14 Days][21 Days][30 Days][90 Days][Never Expires]から選択可能です。
[Deployment Lease]を過ぎたコンフィグレーションは、自動的にアンデプロイされます。[Storage Lease]を過ぎたコンフィグレーションは、削除対象としてマークされます。正確にはどのような設定にしているかに依存します。設定項目は左ペインで[Settings]⇒[Resource Cleanup]画面で表示されます。
このような設定を使用することで、仮想環境に使用していない仮想マシンの乱立を防ぐことができます。
