CEでNutanix Flowを試してみる part1 〜Flowの概要〜
本記事はNutanix Advent Calendar 2019(1枚目−12/7)へ投稿しています。
Flowを利用すると、次のような方法でNutanix上で動作する仮想マシンの通信を制御することができます。
・マイクロセグメンテーション
・仮想マシンのネットワークの分離
・仮想マシンの隔離
Flowを利用することで、Nutanixの仮想ネットワーク内でネットワークのセキュリティポリシーが割り当てられます。仮想マシンを展開するタイミングで外部のネットワーク機器の設定を行わなくても、Nutanix内で管理が完結できることから、ネットワークの管理が大変な環境では使い勝手が良い機能となっています。
どのような環境が必要か、どのような機能なのか簡単に紹介します。
Flowのポリシー設定はPrism Centralで設定します。
Flowで設定されたセキュリティポリシーはAHV内の仮想スイッチ(Open vSwitch/OVS)で設定され、仮想マシンに対してフィルタリングルールが適用されます。
1.アプリケーションや仮想マシンのグループを定義した「カテゴリ」を定義
2.定義した「カテゴリ」に仮想マシンを割り当て
3.「セキュリティポリシー」のルールを作成、「カテゴリ」に割り当て
マイクロセグメンテーション機能を使う場合は、次のカテゴリを使用します。
・AppType
セキュリティポリシーを適用する仮想マシンをグループ化するために利用します。例えば、WEB・DBサーバで構成されたブログシステムをグループ化するためにAppType:CMS_SVといった名前でカテゴリを定義します。
・AppTier
AppTypeでグループ化した仮想マシンをさらに分類するために利用します。例えば、AppTypeで定義したブログシステムを構成するWEBサーバやDBサーバに個別にルールを適用するため、さらにカテゴリ分けする場合などに使用します
WEBサーバ = AppTier:WebServers
DBサーバ = AppTier:DBServers
Flowの用途ごとに使用するポリシーがあります。
・セキュアアプリケーションポリシー
いわゆるマイクロセグメンテーション機能として、AHV上で動作するアプリケーション(仮想マシン)の通信をフィルタリングするために使用します。AppTypeで定義された通信に対してのインバウンド・アウトバウンドの通信をフィルターするために使われます。
・環境の分離ポリシー
仮想マシングループ間を相互に分離するために使用します。ポリシーを適用されたグループ間では通信が遮断されます。
例えば、本番環境のシステムをクローニングし、テスト環境を構築して検証を行う場合、IPの重複を避けるために本番環境とテスト環境を分離してテストしたい場合があります。このような場合に相互の通信を遮断することができます。
・検疫ポリシー
ポリシーを適用した仮想マシンをネットワークから隔離するために使用します。例えば、マルウェアに感染した仮想マシンの通信を遮断することができます。
検疫ポリシー ➤ 環境の分離ポリシー ➤ アプリケーションセキュリティポリシー
いきなりフィルタリングが適用されないため、仮想マシンの通信を確認してから適用することで、運用中の影響範囲を制限することがきます。
■ CEでNutanix Flowを試してみる part2 〜マイクロセグメンテーション〜
■ CEでNutanix Flowを試してみる part3 〜環境の分離〜
■ CEでNutanix Flowを試してみる part4 〜仮想マシンの隔離〜
■ CEでNutanix Flowを試してみる part5 〜Flowの中身〜
今回紹介したFlowについては、私も執筆に参加した本でさらに詳しく記載しています。
一度手に取ってみてください♪
Nutanix Enterprise Cloud クラウド発想のITインフラ技術 (翔泳社)
Nutanix Flowとは
Nutanix Flowは、AHVで動作するSDN(Software Defined Network)製品です。Flowを利用すると、次のような方法でNutanix上で動作する仮想マシンの通信を制御することができます。
・マイクロセグメンテーション
・仮想マシンのネットワークの分離
・仮想マシンの隔離
Flowを利用することで、Nutanixの仮想ネットワーク内でネットワークのセキュリティポリシーが割り当てられます。仮想マシンを展開するタイミングで外部のネットワーク機器の設定を行わなくても、Nutanix内で管理が完結できることから、ネットワークの管理が大変な環境では使い勝手が良い機能となっています。
どのような環境が必要か、どのような機能なのか簡単に紹介します。
Flowに必要なもの
Flowを利用する場合、ポリシーの管理や配布のためにPrism Centralが必要になります。Flowのポリシー設定はPrism Centralで設定します。
Flowで設定されたセキュリティポリシーはAHV内の仮想スイッチ(Open vSwitch/OVS)で設定され、仮想マシンに対してフィルタリングルールが適用されます。
Flowによるマイクロセグメンテーションの設定の流れ
Prism CentralでFlowの機能を有効化したのち、次の手順で設定していきます。1.アプリケーションや仮想マシンのグループを定義した「カテゴリ」を定義
2.定義した「カテゴリ」に仮想マシンを割り当て
3.「セキュリティポリシー」のルールを作成、「カテゴリ」に割り当て
カテゴリ
カテゴリは、フィルタリングする仮想マシンをグループ化するために使います。マイクロセグメンテーション機能を使う場合は、次のカテゴリを使用します。
・AppType
セキュリティポリシーを適用する仮想マシンをグループ化するために利用します。例えば、WEB・DBサーバで構成されたブログシステムをグループ化するためにAppType:CMS_SVといった名前でカテゴリを定義します。
・AppTier
AppTypeでグループ化した仮想マシンをさらに分類するために利用します。例えば、AppTypeで定義したブログシステムを構成するWEBサーバやDBサーバに個別にルールを適用するため、さらにカテゴリ分けする場合などに使用します
WEBサーバ = AppTier:WebServers
DBサーバ = AppTier:DBServers
セキュリティポリシー
定義したカテゴリに対して、通信の許可や拒否といったセキュリティルールを適用するために使用します。Flowの用途ごとに使用するポリシーがあります。
・セキュアアプリケーションポリシー
いわゆるマイクロセグメンテーション機能として、AHV上で動作するアプリケーション(仮想マシン)の通信をフィルタリングするために使用します。AppTypeで定義された通信に対してのインバウンド・アウトバウンドの通信をフィルターするために使われます。
・環境の分離ポリシー
仮想マシングループ間を相互に分離するために使用します。ポリシーを適用されたグループ間では通信が遮断されます。
例えば、本番環境のシステムをクローニングし、テスト環境を構築して検証を行う場合、IPの重複を避けるために本番環境とテスト環境を分離してテストしたい場合があります。このような場合に相互の通信を遮断することができます。
・検疫ポリシー
ポリシーを適用した仮想マシンをネットワークから隔離するために使用します。例えば、マルウェアに感染した仮想マシンの通信を遮断することができます。
セキュリティポリシーの適用順
カテゴリに割り当てられたセキュリテイポリシーは、仮想スイッチ(OVS)を通過する際に次の順番で確認され、問題なければ通信が許可されます。検疫ポリシー ➤ 環境の分離ポリシー ➤ アプリケーションセキュリティポリシー
ポリシーの適用タイミング
Flowで定義したポリシーは最初「モニター」モードで通信の状況を確認し、その後「Apply」モードで実際にフィルターをかけることができます。いきなりフィルタリングが適用されないため、仮想マシンの通信を確認してから適用することで、運用中の影響範囲を制限することがきます。
関連記事
次回以降で、Flowの使い方や中身についても紹介します。■ CEでNutanix Flowを試してみる part2 〜マイクロセグメンテーション〜
■ CEでNutanix Flowを試してみる part3 〜環境の分離〜
■ CEでNutanix Flowを試してみる part4 〜仮想マシンの隔離〜
■ CEでNutanix Flowを試してみる part5 〜Flowの中身〜
今回紹介したFlowについては、私も執筆に参加した本でさらに詳しく記載しています。
一度手に取ってみてください♪
Nutanix Enterprise Cloud クラウド発想のITインフラ技術 (翔泳社)
コメント
コメントを投稿