今回もNutanixのAOS 5.17について紹介をしていきたいと思います。
本日の内容については、セキュアブートとLeapに関する内容になります。
内容が長いので、2回に分けて記事を投稿します。
1.AOS 5.17の主要機能(セキュアブート、Leap)
セキュアブートおよびLeapについてのアップデート内容がこちらになります。
•AHV起動ノードにおけるセキュアブートのサポート
•仮想マシンのセキュアブートのサポート
•プロテクションドメインにおけるDRトラフィックのネットワーク
セグメンテーションのサポート
•メトロおよびNearSyncレプリケーションのスケジュールにおける
DRサービスのネットワークセグメンテーションのサポート
•Leap上のAHV同期レプリケーション(0 RPO)のサポート
•Leap上の単一Prism Centralのサポート(1時間以上のRPOのみ)
•Leapを利用したリカバリプランの仮想マシンレベルのIPアドレスマッピングサポート
•Leapを利用したリカバリプランでのゲスト内のスクリプト実行のサポート
•LeapによるNearSyncレプリケーション(1~15分RPO)のサポート
セキュアブートについては内容が少ないため、Leapの内容を一部紹介して1回の記事を終了したいと思います。
今回のAOS5.17においては、AHVおよび仮想マシンに関してセキュアブートがサポートされています。
またDR関連に関する内容にもアップデートがあります。
2.AHV起動ノードにおけるセキュアブートのサポート
AOS
5.17では、AHVはUEFI(Unified Extensible Firmware Interface)およびセキュアブートをサポートするハードウェアで起動することができます。UEFIについての説明も以下に掲載しておきますので、参考までに見て頂ければと思います。
UEFIを対応することによりブートの高速化などもメリットもあります。
•UEFIとは?
UEFI(Unified
Extensible Firmware Interface)ファームウェアは、レガシーのBIOS
ファームウェアの後継であり、大容量ハードドライブ・高速なブートおよびより多くの
セキュリティ機能を提供します。
•UEFIファームウェアを利用するメリットとは?
UEFIファームウェアを利用してVMを作成および起動すると、次のメリットがあります。
•高速なブート
•従来のオプションROMアドレスの制約を回避
•堅牢な信頼性と障害管理が含まれます
•UEFIドライバーを利用する
•セキュアブートとは何ですか?
プレオペレーションシステム環境は、悪意のある可能性ローダーによる攻撃に対しては
脆弱です。ファームウェアに存在するポリシーと証明書を使用するUEFIセキュアブートで
この脆弱性に対処し、適切に署名および認証されたコンポーネントのみが実行許可される
ようにしています。
•セキュアブートを有効にしてVMを作成する方法
セキュアブートを有効にして、VMを作成するには:
1.aCLIを起動
aCLIを起動するためには、SSH Nutanix@cvm $ acli <acropolis>を利用してクラスター内の任意のコントローラーVMにログオンします。
aCLIを起動するためには、SSH Nutanix@cvm $ acli <acropolis>を利用してクラスター内の任意のコントローラーVMにログオンします。
2.セキュアブートを有効にしてVMを作成するためには:
acli> vm.create <vm_name> secure_boot = true machine_type = q35
acli> vm.create <vm_name> secure_boot = true machine_type = q35
•VMのセキュアブートサポート
AOS
5.17ではAHVクラスターで実行されているユーザーVMでUEFIのセキュア
ブート機能が有効化できます。
DR関連におけるネットワークのセグメンテーションができるようになりました。
•プロテクションドメインのDRトラフィックで何か変更点があったのか?
クラスタで物理ネットワークセグメンテーションを有効にすることにより、2つのAHVまたはESXiクラスタ間でDRサービスのネットワークトラフィックを分離できるようになりました。
ネットワークトラフィックのセグメンテーションは、トラフィックのサブセットを独自のネットワークに分離することにより、セキュリティ・復元力およびクラスターのパフォーマンスを向上させることができます。この機能はLeapではサポートされていません。
•メトロおよびNearSyncレプリケーションスケジュールで何か変更点があったのか?
メトロセグメンテーションまたはNearSyncレプリケーションのスケジュールを実行しているAHVまたはESXiクラスター間のDRサービスのネットワークトラフィックを分離するようにネットワークセグメンテーションを構成可能
プライマリサイトとリカバリサイトの両方がネットワークセグメンテーションで構成されている場合にのみ、NearSyncとメトロアベイラビリティのDRを利用できます。サイトをネットワークセグメンテーション用に構成するには、そのサイトで実行されているすべてのNearSyncおよびメトロアベイラビリティのDRのスケジュールを無効にします。
4.Leapの対応について
Xi Leap向けの対応もAOS 5.17でアップデートがあります。日本においてもXi Leapは利用できるようになっているため、DR環境でXi Cloudを利用される方は是非読んでおいて頂ければと思います。
また、Leapに関してよくわからない方に、少しだけ説明をつけておきました。
•Leapとは?
Leapはアプリケーションを保護および復旧するためのエンティティセントリックの自動化されたアプローチを提供します。カテゴリ利用しているVMをグループ化し、アプリケーションのスケーリングに応じてVMの保護を自動化
非同期、NearSync、同期レプリケーションのスケジューリングがサポートされており、アプリケーションとその構成の詳細を確実にリカバリするロケーションに同期して、スムーズなリカバリを実現
•Leapの仕組み
Leapはアベイラビリティゾーンと呼ばれる物理的に分離された場所のペアで
機能します。1つのアベイラビリティゾーンがアプリケーションのプライマリ
サイトとして機能し、ペアのアベイラビリティゾーンがリカバリサイトとして
機能します。以下の間でLeapを利用することができます。
•2つのオンプレミスサイト(物理データセンター)
•オンプレミスサイトとXi Cloudサービスのサイト
•単一のオンプレミスサイト内の2つのクラスター
5.Leap上のAHV同期レプリケーション(0 RPO)のサポート
•AHV同期レプリケーションで何か変更点があったのか?
2つのオンプレミスAHVクラスター間で同期レプリケーションスケジュールを利用するように保護ポリシーを構成可能
ただし、レプリケーションを利用して実行できるのは計画外のフェイルオーバーのみです。
ただし、レプリケーションを利用して実行できるのは計画外のフェイルオーバーのみです。
•同期レプリケーションの定義
Leapにおける同期レプリケーションはエンティティセントリックのアプローチであり、ゼロRPOでVMを保護できます。同期レプリケーションは保護されたVMを異なるアベイラビリティゾーンの別のオンプレミスサイトに跨ります。
•同期レプリケーション(AHV)で保護ポリシーを作成するにはどうすればよいか?
VMまたはVMのカテゴリを定義することにより、同期レプリケーションを備えた保護ポリシーを構成可能
ポリシーは設定されたRPOに従って保護されたVMのリカバリポイントをスケジュールして、可用性向上のためにリカバリサイトに複製します。
AHVの同期レプリケーションについての設定手順を以下に記載します。
1.プライマリのPrism
Centralにログインして、ポリシーメニューの
保護ポリシーに移動
2.保護ポリシーの作成をクリックします。ダイアログボックスで、名前、
プライマリロケーション、プライマリクラスター、リカバリロケーション、
ターゲットクラスタの詳細を指定します。ポリシーの種類のセクションで同期を
選択
3.失敗したときの対処方法は、手動もしくは自動を選択
•プライマリサイトとリカバリサイト間の接続が切断され、プライマリ
クラスタでのVMの書き込みがレプリケーションを停止させた場合
•手動オプションでは、同期レプリケーションを手動で無効に
した場合にのみ、プライマリサイトでのVMの書き込みが再開
されます。自動オプションでは、指定された秒数の
タイムアウト後にプライマリサイトでのVMの書き込みが
自動的に再開されます。
4.関連付けられたカテゴリにおいて、カテゴリの追加をクリックし、リストからVMカテゴリを選択して保護ポリシーに追加
5.保存をクリック
同期レプリケーションを利用した保護ポリシーが正常に作成されて。VMを個別に(カテゴリなしで)保護ポリシーを追加したり、VMを保護ポリシーから削除したりできます。
AHVの同期レプリケーションについては、制限事項があります。
以下の内容に合わせて設定する必要がありますので、もし要件に満たさない場合は利用しないようにして頂ければと思います。
•2台のAHVもしくはESXiのホストはAOS
5.17以降のバージョンで動作しており、同一の
Prism Centralが登録されている必要があります
•AHV クラスターは20190916.189以降のバージョンで動作する必要があります
•ESXiのクラスターはESXi
6.5以降のバージョンで動作する必要があります
•仮想IPアドレスおよびデータサービスIPアドレスがプライマリおよびリカバリクラスタで
設定されていなければならない
•クラスハイパーバイザーDR(CHDR)はサポートされていません
•Prism
Centralでは最大200VMがサポートされています
•Volume
Groupはサポートされていません。
•リカバリクラスター上の互換性のないGPUを利用するVMはサポートされていません
以上、よろしくお願い致します。
次回は、非同期レプリケーションなどについて記事を掲載したいと思います。
