皆さん、こんにちは
本日もNutanix AOS 5.17について紹介していきたいと思います。
本日はPrismの関するアップデートを記載させて頂きたいと思います。
1.AOS 5.17の主要機能(Prism)
今回のアップデート内容はこちらの内容になります。
新機能についてはXi Cloud以外にもVDIで利用できるFlowのポリシー追加、リモートでもFoundation可能になったFoundation Centralがあります。
コロナ禍においてはFoundation Centralなどは非常に良い機能であると思います。
・複数vDiskのサポート
・機能拡張された検索機能
・クロスプレイ(X-Play)の機能強化
新機能
・Xi CloudサービスのVPCルーティングテーブルおよびスタティックルート
・Active DirectoryをサポートするFlowのVDIポリシー
・Foundation Central
2.複数vDiskのサポートおよび機能拡張された検索機能
複数vDiskのサポート
以前のバージョンでは、すべてのPrism Central VMに含まれるvDiskは1つのみでした。5.17では、さらに3つのvDiskが大規模なPrism Central VMに追加されます。
この変更は、AHVまたはESXiで実行されている新規およびアップグレードされた大規模なPrism Central VMの両方に適用されます。
(小規模のPrism Central VMと、他のハイパーバイザーまたはNutanixではない環境で
実行されている大きなVMには、vDiskが1つしかありません。)
•これによるメリットは何か?
追加のvDiskより、Prism
CentralはCassandraのメタデータを共有して
パフォーマンスを向上させることが可能
•検索機能の新しい機能とは何か?
アラート、イベント、または監査を含む機能が検索機能に拡張されています。
アラート、イベント、または監査メッセージをキーワードまたはタイトルとして検索またはフィルターフィールドに入力可能になっています。
3.クロスプレイ(X-Play)の機能強化
クロスプレイについての機能強化についてはこちらの内容になっています。
今回一番の目玉と言えるのは、Service Now(Snow)の連携になります。
これを利用することで、Service Now経由チケットを発行して仮想マシンを作成依頼時に、Calmなどと連携することで仮想マシンを自動的に作成することができたりします。
それ以外にもWebhookをトリガーにすることもできるようになったので、さらなる連携を試してみるのも良いと思います。
•X-Playの変更点をどこか?
クロスプレイはPlaybookを利用して実現されるワークフローの自動化機能を拡張するために、以下の追加トリガーとアクションをサポートするようになりました
•トリガー:
•アラートが一致する条件
•時間
•イベント
•Webhook
•アクション:
•レポート生成
•VM拡張ディスク
•「Service Nowへ送信」アクションに対する中間のサーバー機能をサポート
•VMをパワーオン
4.クロスプレイ(X-Play)とは?
ここでクロスプレイ(X-Play)をご存じない方に説明をしておきます。
クロスプレイは使いやすい自動化ツールであり、日常の管理タスクを自動化し、システムで発生する可能性のある問題を自動修正します。
X-Playのさまざまな部分は何ですか?
X-Playには、タスクを自動化するためのさまざまなコンポーネントがあります。これらには以下が含まれます:
Playbook
Playbookを使用すると、1つのアクションまたは一連のアクションを実行するトリガーを
定義できます。トリガーは、アラートやユーザーによるリクエストなど、システムで
発生するイベントです。構成する結果のアクションは、VMアクション、通信アクション、
アラートアクション、またはレポートアクションです。
アクションギャラリー
アクションギャラリーには、Playbookで使用できる幅広いアクションが用意されています。アクションギャラリー内で使用可能なアクションは、最も一般的なIT自動化の使用例に
対応しています。アクションギャラリーからシステム
アクションのクローンを作成して、Playbookで使用するカスタムアクションを
作成できます。
Play
プレイは、実行したすべてのPlaybookのステータスを監視するために使用できるPlaybookの実行インスタンスです。
5.Playbookの作成方法
次のトリガーに基づいてPlaybookが作成可能です。
•アラートトリガー -
アラートトリガーでは、アラートポリシーをトリガーとして選択
できます。このポリシーからアラートが生成されると、Playbookで構成された
アクションがトリガーとされます。
•アラートが一致する条件 -
アラート一致条件トリガーにより、指定した条件に一致する
アラートでPlaybookをトリガーにできます。
•イベント - イベントトリガーを使用すると、特定のタイプのイベントが生成されたときに
Playbookをトリガーにできます。
•手動トリガー - 手動トリガーでは、エンティティタイプ(VM、クラスター、または
ホスト)を選択して、選択したエンティティタイプのエクスプローラービューから
手動でPlaybookをトリガーにできます。
•時間 - 時間トリガーを使用すると、指定した時間にPlaybookをトリガーにできます。
•Webhook - Webhookトリガーを使用すると、POSTからWebhook URLへの
Playbookをトリガーにできます。
構成済みのPlaybookは、エンティティメニューで利用できます。
•X-PlayにはPrism Proライセンスが必要です。
•X-Playでは、Prism Centralを5.11にインストールする必要があります。
Prism Elementを5.11にアップグレードする必要はありません。
6.Xi CloudサービスのVPCルーティングテーブルおよびスタティックルート
こちらの内容については、オンプレミス環境とXi Cloud環境のルーティングに関する内容となります。Xi Cloudをご利用されるときは考慮して頂きたい内容となっています。
•ルートテーブル
AOS5.17ではVPNやダイレクトコネクトのいづれかを利用しているかに関わらず、
オンプレミスのデータセンターとXi Cloud間のトラフィックのルーティング設定を
表示および構成できるVirtual
Private Cloud(VPC)のルートテーブルを
導入しています。
オンプレミスのデータセンターでBGPを構成して、それらのルートを知らせようと
すると、ルートテーブルに動的にルーティングが表示されます。Xi
Cloudは
BGPセッションがアクティブになると、動的にルートをテーブル追加します。
BGPを利用しない場合は、スタティックルートを手動でテーブルに追加して、
Xi
Cloudとオンプレミスのデータセンター間のネットワークトラフィックを
ルーティングできます。ルートテーブルでVPCでサブネットを作成すると、
Xi
Cloudはローカルルートをテーブルに自動的に追加します。
Xi Cloudのルートにはどのような種類があるのか?
•ダイナミック: オンプレミスデータセンターでBGPを構成し、そのルートを知らせるする
場合は、オンプレミスデータセンターの宛先にルーティングします。Xi CloudはBGP
セッションがアクティブになると、動的ルートをテーブルに自動的に追加します。
•スタティック:オンプレミスのデータセンターでBGPを構成しない場合は、オンプレミスの
データセンターの宛先にルーティングします。ルートテーブルに(またはルートテーブル
から)スタティックルートを手動で追加(または削除)する必要があります。
•ローカル: VPC内のサブネットにルーティングします。VPCでサブネットを作成すると、
Xi Cloudはローカルルートをテーブルに自動的に追加します。
ルーティングテーブルには何が含まれていますか?
•宛先プレフィックス: CIDR形式の宛先サブネットのIPアドレスプレフィックス
•ネクストホップリンク:宛先サブネットに到達するためのネクストホップへのリンク
•優先度: そのルートの優先度番号
•タイプ: ルートのタイプ。こちらは、スタティック、ダイナミック、またはローカルに
することができます
•ステータス: ルートのステータス(アクティブまたは非アクティブ)
ルートテーブルを表示する方法
手順
1.Explorer > Networking > Virtual Private Cloudに移動します。
2.次のいずれかを実行します。
•本番のVirtual Private Cloudの横にあるチェックボックスをオンにし、Actionの
ドロップダウンリストでRouteをクリックします。
•本番のVirtual Private Cloudをクリックし、表示される本番のVirtual Private Cloud
の詳細ページで、Routeをクリックします。
3. ルートテーブルには、Xi
Cloudで利用可能なルートが表示されます。
スタティックルートテーブルを追加する方法
ルートテーブルにスタティックルートを追加するには、次の手順を実行します。
手順
1.Explorer > Networking > Virtual Private Cloudに移動します
2.次のいずれかを実行します
•本番のVirtual Private Cloudの横にあるチェックボックスをオンにし、 Actionの
ドロップダウンリストでRouteをクリックします
•本番のVirtual Private Cloudをクリックし、表示される本番のVirtual Private Cloud
の詳細ページで、Routeをクリックします
3. Moreのドロップダウンリストで、Create Static Routesをクリックします
4. Create
Static Routesダイアログボックスの
Destination
Prefixフィールドに、
オンプレミスデータセンターのサブネットのIPアドレスのプレフィックスをCIDR形式で
入力します
5. Add Prefixをクリックして、Static Routeを追加します。Next Hop Linkのフィールド
には、オンプレミスデータセンターへのゲートウェイであるVPNサブネットが
読み込まれます
6. Saveをクリックします。追加したStatic Routeがルートテーブルに表示されます
7. Active DirectoryをサポートするFlow VDI ポリシー
こちらの内容ですが、Flowに関してはすでにいくつかのセキュリティポリシーがあります(後程紹介します)が、今回はVDIポリシー追加されており、この内容について紹介したいと思います。Nutanix Flowについての説明も合わせて記載していきたいと思います。
VDIポリシーは、Active Directoryグループメンバーシップを使用したVDI VMのIDベースの分類に基づく新しいFlowのポリシーです。
Nutanix Flowとは何か?
Nutanix Flowは、先進的なネットワーキングおよびセキュリティサービスを提供し、
仮想ネットワークの可視性、ネットワーク脅威、マルウェア、ランサムウェアからの
アプリケーション中心の保護、および一般的なネットワーク操作の自動化を提供します。
Nutanix Flowには、データセンター内のトラフィックをチェックするポリシー主導の
セキュリティフレームワークが含まれています。
セキュリティポリシーとは何か?
セキュリティポリシーは、データセンター内で送信および受信するトラフィックを検査し、
データセンター内にファイアウォールを追加する必要をなくすのに役立ちます。
セキュリティポリシーはカテゴリ(VMの論理グループ)に適用され、VM自体には
適用されません。したがって、特定のカテゴリで起動されるVMの数は関係ありません。
カテゴリ内のVMに関連付けられたトラフィックは、管理者の介入なしに、
あらゆる規模で保護されます。
セキュリティポリシーにはどのような種類がありますか?
ここでは、Prism Centralのポリシーのタイプとその使用例について説明します。
•アプリケーションセキュリティポリシー:許可されたトラフィックの送信元と宛先を
指定してアプリケーションを保護する場合は、アプリケーションセキュリティポリシーを
利用します
•分離環境ポリシー:分離環境ポリシーは、方向に関係なく、カテゴリで識別されるVMの
2つのグループ間のすべてのトラフィックをブロックする場合に利用します
•隔離ポリシー:侵害されたVMまたは感染したVMを隔離し、オプションでフォレンジックの
対象にしたい場合は、隔離ポリシーを利用します
•VDIポリシー: これは、5.17以降で利用可能な新しいポリシーです。VDIポリシーは、
Active Directoryグループメンバーシップを使用したVDI VMのIDベースの分類に
基づいています。VDIポリシーの構成には、IDファイアウォール(IDベースの
セキュリティ)に使用されるActive Directoryドメインの追加と、ドメインのサービス
アカウントの構成が含まれます。
8. Foundation Central
Foundation CentralがPrism Centralで一般公開されました。
Foundation Centralは工場でイメージされたノードからクラスターを作成し、
Prism CentralからリモートでFoundation Centralにすでに登録されている既存のノードの
イメージを再作成が可能。
これにより、導入担当者が拠点の訪問の調整を行うことなく、ROBOなどのリモートサイト
でクラスターを作成するなどのメリットが得られます。
Foundation Centralのセットアップ方法
•ノードの物理ネットワーク構成が完了していることを確認
•ノードをFoundation Centralに登録することが必須であるため、DHCPをセットアップ
•工場でイメージ化されたノードのみをサポート
•Foundation Centralが利用されているPrism Central VMへのログイン認証情報が
あることを確認
Foundation Centralをセットアップするには、以下の手順を実行
1.Prism CentralでFoundation
Centralを有効にする
2.ノードのDHCPベンダー固有オプションの構成
以上、よろしくお願いします。
