VMware Cloud Foundation(VCF)5.2 がリリースされたので、ためしに SDDC を展開してみました。
リリース ノートはこちら。
今回の内容です。
vcf-ems-Deployment-Parameter.xlsx ファイルでのパスワード省略
このリリースから、さり気なくパラメータ ワークブック(Excel ブック)で指定するパスワードを、いくつか省略できるようになっています。
vcf-ems-Deployment-Parameter.xlsx ファイルの「Credentials」シートでは、指定が必須のパスワードは2つだけになりました。
- ESXi の root ユーザ
- SDDC Manager の admin@local ユーザ(入力省略したユーザには、このパスワードが設定される)
ちなみにこのリリースから、Cloud Builder のユーザ(root / admin)と、SDDC Manager のユーザ(root、admin@local、vcf など)のパスワード要件が 15文字以上になっています。
SDDC のデプロイで、上記のように最低限のパスワードのみを入力した Excel ファイルを使用すると、Validate Cofiguration で下記のように「JSON Spec Verification」の警告が表示されます。
警告を展開すると、未入力のパスワードに SDDC Manager の admin@local ユーザのものが使用されることがわかります。
警告がある場合には、「Aknowledge」をクリックしておくと「NEXT」がクリックできるようになります。
SDDC Manager でのパスワード管理
デプロイされた SDDC Manager のログインでは、vCenter Server の SSO でログインすることになりますが、管理者ユーザである「Administrator@vsphere.local」は、SDDC Manager の admin@local と同じパスワードでログインできます。
NSX Manager の admin ユーザなども同様です。
SDDC Manager パスワード管理の対象
SDDC Manager では、以前からパスワード管理の機能が提供されており、下記が管理対象になっています。
PSC(administrator@vsphere.local ユーザ)
vCenter Server(root ユーザなど)
ESXi(root ユーザなど)
NSX Manager(root、admin、audit ユーザ)
バックアップ(SDDC Manager ゲスト OS の backup ユーザ)
SDDC Manager でのパスワード変更
SDDC Manager で、NSX Manager の admin ユーザのパスワードを変更してみます。
「セキュリティ」→「パスワード管理」を開いて、「NSX Manager」→「admin」を選択して「パスワードの変更」をクリックします。
確認画面が表示されるので、「変更」をクリックします。
認証情報がのローテーションが成功したことを確認します。パスワード変更したユーザーは、「パスワード管理」画面でのステータスが「アクテイブ」になります。
SDDC Manager でのパスワード確認
SDDC Manager での変更後のパスワードは、SDDC Manager の「lookup_passwords」コマンドで確認できます。
SDDC Manager のゲスト OS に、vcf ユーザでログインして、lookup_passwords コマンドを実行します。
- Enter an entity type from above list: 確認対象を入力します。NSX-V があった頃からの機能なので、NSX Manager は「NSXT_MANAGER」です。
- Enter page number (optional): 空欄のまま Enter。
- Enter page size (optional, default=50): 空欄のまま Enter。
- Enter Username: SDDC Manager ローカル管理者ユーザ(admin@local)
- Enter Password: SDDC Manager ローカル管理者ユーザのパスワード
NSX Manager の admin ユーザのパスワードだけが、SDDC デプロイ時に Excel ブックで指定したものから、自動生成されたものに変更されていることがわかります。そして、NSX Manager の Web UI に admin ユーザでログインする際には、このパスワードを入力することになります。
vcf@vcf-m01-sddc-01 [ ~ ]$ lookup_passwords
Password lookup operation requires ADMIN user credentials. Please refer VMware Cloud Foundation Administration Guide for setting up ADMIN user.
Supported entity types: ESXI VCENTER PSC NSX_MANAGER NSX_CONTROLLER NSXT_MANAGER NSX_ALB NSXT_EDGE VRSLCM VRLI VROPS VRA WSA BACKUP VXRAIL_MANAGER AD
Enter an entity type from above list: NSXT_MANAGER
Enter page number (optional):
Enter page size (optional, default=50):
Enter Username: admin@local
Enter Password:
NSXT_MANAGER
identifiers: 192.168.70.12,vcf-m01-nsx.c.go-lab.jp
workload: vcf-m01
username: root
password: VMware1!VMware1!
type: SSH
account type: SYSTEM
NSXT_MANAGER
identifiers: 192.168.70.12,vcf-m01-nsx.c.go-lab.jp
workload: vcf-m01
username: audit
password: VMware1!VMware1!
type: AUDIT
account type: SYSTEM
NSXT_MANAGER
identifiers: 192.168.70.12,vcf-m01-nsx.c.go-lab.jp
workload: vcf-m01
username: admin
password: jB9*wM67UzP4u!D1X@^8
type: API
account type: SYSTEM
Page : 1/1, displaying 3 of total 3 entities in a page.
vcf@vcf-m01-sddc-01 [ ~ ]$
おまけ
VCF 5.2 の SDDC Manager では、「ライフサイクル管理」の配下に、さりげなく「SDDC Mnager」画面が追加されていました。
NSX Manager は、以前のリリースでは「Small」サイズでもなんとか動作していたのですが、最近は検証目的でもデフォルトの「Medium」以上にしないとだめそうです。Small サイズのデプロイだと、頻繁に Out of memory でサービスが停止してしまいます。
下記は、「Medium」サイズでデプロイした直後の NSX Manager クラスタの様子です。
以上、VCF 5.2 での SDDC 展開時のパスワード指定を省略してみる話でした。
