2020年7月10日金曜日

AOS5.17について(セキュアブート・Leap編 その1)

皆さん、こんにちは
今回もNutanixのAOS 5.17について紹介をしていきたいと思います。
本日の内容については、セキュアブートとLeapに関する内容になります。
内容が長いので、2回に分けて記事を投稿します。

1.AOS 5.17の主要機能(セキュアブート、Leap)

セキュアブートおよびLeapについてのアップデート内容がこちらになります。

AHV起動ノードにおけるセキュアブートのサポート
仮想マシンのセキュアブートのサポート
プロテクションドメインにおけるDRトラフィックのネットワーク
 セグメンテーションのサポート
メトロおよびNearSyncレプリケーションのスケジュールにおける
 DRサービスのネットワークセグメンテーションのサポート
Leap上のAHV同期レプリケーション(0 RPO)のサポート
Leap上の単一Prism Centralのサポート(1時間以上のRPOのみ)
Leapを利用したリカバリプランの仮想マシンレベルのIPアドレスマッピングサポート
Leapを利用したリカバリプランでのゲスト内のスクリプト実行のサポート

LeapによるNearSyncレプリケーション(1~15RPO)のサポート

セキュアブートについては内容が少ないため、Leapの内容を一部紹介して1回の記事を終了したいと思います。
今回のAOS5.17においては、AHVおよび仮想マシンに関してセキュアブートがサポートされています。
またDR関連に関する内容にもアップデートがあります。

2.AHV起動ノードにおけるセキュアブートのサポート
AOS 5.17では、AHVUEFI(Unified Extensible Firmware Interface)およびセキュアブートをサポートするハードウェアで起動することができます。UEFIについての説明も以下に掲載しておきますので、参考までに見て頂ければと思います。
UEFIを対応することによりブートの高速化などもメリットもあります。
UEFIとは?
UEFI(Unified Extensible Firmware Interface)ファームウェアは、レガシーのBIOS
ファームウェアの後継であり、大容量ハードドライブ・高速なブートおよびより多くの
セキュリティ機能を提供します。
UEFIファームウェアを利用するメリットとは?
UEFIファームウェアを利用してVMを作成および起動すると、次のメリットがあります。
高速なブート
従来のオプションROMアドレスの制約を回避
堅牢な信頼性と障害管理が含まれます
UEFIドライバーを利用する



セキュアブートとは何ですか?
プレオペレーションシステム環境は、悪意のある可能性ローダーによる攻撃に対しては
脆弱です。ファームウェアに存在するポリシーと証明書を使用するUEFIセキュアブートで
この脆弱性に対処し、適切に署名および認証されたコンポーネントのみが実行許可される
ようにしています。
セキュアブートを有効にしてVMを作成する方法
セキュアブートを有効にして、VMを作成するには:
1.aCLIを起動
aCLI
を起動するためには、SSH Nutanix@cvm $ acli <acropolis>を利用してクラスター内の任意のコントローラーVMにログオンします。
2.セキュアブートを有効にしてVMを作成するためには:
acli
> vm.create <vm_name> secure_boot = true machine_type = q35
VMのセキュアブートサポート

AOS 5.17ではAHVクラスターで実行されているユーザーVMUEFIのセキュア
ブート機能が有効化できます。

.ネットワークセグメンテーション


DR関連におけるネットワークのセグメンテーションができるようになりました。
プロテクションドメインのDRトラフィックで何か変更点があったのか?
クラスタで物理ネットワークセグメンテーションを有効にすることにより、2つのAHVまたはESXiクラスタ間でDRサービスのネットワークトラフィックを分離できるようになりました。
ネットワークトラフィックのセグメンテーションは、トラフィックのサブセットを独自のネットワークに分離することにより、セキュリティ・復元力およびクラスターのパフォーマンスを向上させることができます。この機能はLeapではサポートされていません。
メトロおよびNearSyncレプリケーションスケジュールで何か変更点があったのか?
メトロセグメンテーションまたはNearSyncレプリケーションのスケジュールを実行しているAHVまたはESXiクラスター間のDRサービスのネットワークトラフィックを分離するようにネットワークセグメンテーションを構成可能

プライマリサイトとリカバリサイトの両方がネットワークセグメンテーションで構成されている場合にのみ、NearSyncとメトロアベイラビリティのDRを利用できます。サイトをネットワークセグメンテーション用に構成するには、そのサイトで実行されているすべてのNearSyncおよびメトロアベイラビリティのDRのスケジュールを無効にします。

4.Leapの対応について

Xi Leap向けの対応もAOS 5.17でアップデートがあります。日本においてもXi Leapは利用できるようになっているため、DR環境でXi Cloudを利用される方は是非読んでおいて頂ければと思います。
また、Leapに関してよくわからない方に、少しだけ説明をつけておきました。
Leapとは?
Leapはアプリケーションを保護および復旧するためのエンティティセントリックの自動化されたアプローチを提供します。カテゴリ利用しているVMをグループ化し、アプリケーションのスケーリングに応じてVMの保護を自動化
非同期、NearSync同期レプリケーションのスケジューリングがサポートされており、アプリケーションとその構成の詳細を確実にリカバリするロケーションに同期して、スムーズなリカバリを実現
Leapの仕組み
Leapはアベイラビリティゾーンと呼ばれる物理的に分離された場所のペアで
機能します。1つのアベイラビリティゾーンがアプリケーションのプライマリ
サイトとして機能し、ペアのアベイラビリティゾーンがリカバリサイトとして
機能します。以下の間でLeapを利用することができます。
2つのオンプレミスサイト(物理データセンター)
オンプレミスサイトとXi Cloudサービスのサイト

単一のオンプレミスサイト内の2つのクラスタ

5.Leap上のAHV同期レプリケーション(0 RPO)のサポート

AHV同期レプリケーションで何か変更点があったのか?

2つのオンプレミスAHVクラスター間で同期レプリケーションスケジュールを利用するように保護ポリシーを構成可能
ただし、レプリケーションを利用して実行できるのは計画外のフェイルオーバーのみです。

同期レプリケーションの定義
Leapにおけ同期レプリケーションはエンティティセントリックのアプローチであり、ゼロRPOVMを保護できます。同期レプリケーションは保護されたVMを異なるアベイラビリティゾーンの別のオンプレミスサイトに跨ります。
同期レプリケーション(AHV)で保護ポリシーを作成するにはどうすればよいか?
VMまたはVMのカテゴリを定義することにより、同期レプリケーションを備えた保護ポリシーを構成可能
ポリシーは設定されたRPOに従って保護されたVMのリカバリポイントをスケジュールして、可用性向上のためにリカバリサイトに複製します。

AHVの同期レプリケーションについての設定手順を以下に記載します。
1.プライマリのPrism Centralにログインして、ポリシーメニューの
保護ポリシに移動
2.保護ポリシーの作成をクリックします。ダイアログボックスで、名前、
プライマリロケーション、プライマリクラスター、リカバリロケーション、
ターゲットクラスタの詳細を指定します。ポリシーの種類のセクションで同期
選択
3.失敗したときの対処方法は、手動もしくは自動を選択
プライマリサイトとリカバリサイト間の接続が切断され、プライマリ
クラスタでのVMの書き込みがレプリケーションを停止させた場合
手動オプションでは、同期レプリケーションを手動で無効に
した場合にのみ、プライマリサイトでのVMの書き込みが再開
されます。自動オプションでは、指定された秒数の
タイムアウト後プライマリサイトでのVMの書き込みが
自動的に再開されます。
4.関連付けられたカテゴリにおいて、カテゴリの追加をクリックし、リストからVMカテゴリを選択して保護ポリシーに追加

5.保存をクリック

同期レプリケーションを利用した保護ポリシーが正常に作成されて。VMを個別に(カテゴリなしで)保護ポリシーを追加したり、VMを保護ポリシーから削除したりできます。

AHVの同期レプリケーションについては、制限事項があります。
以下の内容に合わせて設定する必要がありますので、もし要件に満たさない場合は利用しないようにして頂ければと思います。

2台のAHVもしくはESXiのホストはAOS 5.17以降のバージョンで動作しており、同一の
Prism Centralが登録されている必要があります
AHV クラスターは20190916.189以降のバージョンで動作する必要があります
ESXiのクラスターはESXi 6.5以降のバージョンで動作する必要があります
仮想IPアドレスおよびデータサービスIPアドレスがプライマリおよびリカバリクラスタで
設定されていなければならない
クラスハイパーバイザーDRCHDR)はサポートされていません
Prism Centralでは最大200VMがサポートされています
Volume Groupはサポートされていません。

リカバリクラスター上の互換性のないGPU利用するVMはサポートされていません

以上、よろしくお願い致します。

次回は、非同期レプリケーションなどについて記事を掲載したいと思います。