CEでNutanix Flowを試してみる part3 〜環境の分離〜
本記事はNutanix Advent Calendar 2019(1枚目−12/21)へ投稿しています。
前回の記事では、Flowによるマイクロセグメンテーション機能を試してみました。
今回は、Flowによる環境の分離を試してみます。
Nutanixの機能を使うと、実運用環境からクローンで簡単に仮想マシンを複製することができます。
複製したテスト環境は、実環境と同一の環境となってしまうため、実環境とは通信ができない状態で起動させる必要があります。
Flowの環境の分離機能を利用するとこのようなテスト環境も簡単に作ることができます。
次の図のように、セキュリティポリシー上、通信すべきでない仮想デスクトップ(VDI)間での通信を制限することができます。
仮想マシン間での通信を遮断しながら、ADなどの共通で利用すべき基盤は双方のカテゴリに属する仮想マシンからも通信させることができます。
設定は次の流れで行います。
・AppType/AppToerの追加
・仮想マシンへのカテゴリの割り当て
・セキュリティポリシーの定義と適用
右上のUpdateをクリックすると編集画面が開きます。
一番下の値の右はしに+ボタンがあります。クリックして、L1Group、L2Gorpupを追加します。
左ペインのVirtual Infrastructure - VMs -Listを開きます。
登録したい仮想マシンを選択、[Actions]をクリックします。
表示されたメニューで[Manage Categories]をクリックします。
L1 Group・L2 Groupのそれぞれに属する仮想マシンにAppTypeを割り当てます。
[Policy]-[Security Policy]を開きます。
[Create New Security Policy]を開き、Isolate Environments (Isolation Policy) を選択し、ウィザードを表示ます。
Define Policyの画面で、ポリシー名や利用するカテゴリを選択し、[Next]をクリックします。
モニターモードでは通信の状態の監視のみ行い、フィルタリングは適用されません。
このモードは通信の可視化やフィルター適用前に設定の不備がないか確認するために使います。
対象のカテゴリに属する仮想マシンからPINGを隔離対象のクライアントに送信ししてみます。
モニターモードの場合は、制限対象の仮想マシン間ではPINGの応答があります。
Applyすると、ポリシーにより仮想マシンの通信が遮断されます。
検証してみたところ、細かい通信の制御については、前回紹介したアプリケーションセキュリティポリシーを利用する方が使いやすいのですが、大きく環境を分けて運用したい場合にはこのポリシーを使う方がシンプルに管理できます。
前回の記事では、Flowによるマイクロセグメンテーション機能を試してみました。
今回は、Flowによる環境の分離を試してみます。
Flowによる環境の分離
環境の分離は、指定したカテゴリ間の通信を可視化・遮断することができる機能です。使い方
どういった使い方がハマるのかイメージが付きづらかったので、利用例を考えてみました。利用例①:検証環境(POC)環境と実運用環境の分離
運用中のシステムの更新やサーバへのパッチ適用を行う前に実環境と同等のテスト環境を作って試験を行う場合があります。Nutanixの機能を使うと、実運用環境からクローンで簡単に仮想マシンを複製することができます。
複製したテスト環境は、実環境と同一の環境となってしまうため、実環境とは通信ができない状態で起動させる必要があります。
Flowの環境の分離機能を利用するとこのようなテスト環境も簡単に作ることができます。
利用例② 部門間での通信の制限
次の図のように、セキュリティポリシー上、通信すべきでない仮想デスクトップ(VDI)間での通信を制限することができます。
仮想マシン間での通信を遮断しながら、ADなどの共通で利用すべき基盤は双方のカテゴリに属する仮想マシンからも通信させることができます。
環境の分離の設定
利用例②をイメージし、次の図のような環境を想定します。設定は次の流れで行います。
・AppType/AppToerの追加
・仮想マシンへのカテゴリの割り当て
・セキュリティポリシーの定義と適用
AppTypeの追加
カテゴリの設定は左ペインのVirtual Infrastructure - Categoriesから、AppTypeをクリックします。右上のUpdateをクリックすると編集画面が開きます。
一番下の値の右はしに+ボタンがあります。クリックして、L1Group、L2Gorpupを追加します。
仮想マシンへのカテゴリの割り当て
作成したカテゴリに該当する仮想マシンを登録します。左ペインのVirtual Infrastructure - VMs -Listを開きます。
登録したい仮想マシンを選択、[Actions]をクリックします。
表示されたメニューで[Manage Categories]をクリックします。
L1 Group・L2 Groupのそれぞれに属する仮想マシンにAppTypeを割り当てます。
セキュリティポリシーの定義
次に、カテゴリに割り当てるセキュリティポリシーを定義します。[Policy]-[Security Policy]を開きます。
[Create New Security Policy]を開き、Isolate Environments (Isolation Policy) を選択し、ウィザードを表示ます。
Define Policyの画面で、ポリシー名や利用するカテゴリを選択し、[Next]をクリックします。
以上で設定完了です。
通信を確認
MONITORもしくはAPPLYの2つのモードが選べます。モニターモードでは通信の状態の監視のみ行い、フィルタリングは適用されません。
このモードは通信の可視化やフィルター適用前に設定の不備がないか確認するために使います。
対象のカテゴリに属する仮想マシンからPINGを隔離対象のクライアントに送信ししてみます。
モニターモードの場合は、制限対象の仮想マシン間ではPINGの応答があります。
Applyすると、ポリシーにより仮想マシンの通信が遮断されます。
まとめ
Flowを使った環境の隔離について試してみました。検証してみたところ、細かい通信の制御については、前回紹介したアプリケーションセキュリティポリシーを利用する方が使いやすいのですが、大きく環境を分けて運用したい場合にはこのポリシーを使う方がシンプルに管理できます。
と、いうことで、CEでNutanix Flowをお試ししてみました。
■ CEでNutanix Flowを試してみる part2 〜マイクロセグメンテーション〜
■ CEでNutanix Flowを試してみる part4 〜仮想マシンの隔離〜
■ CEでNutanix Flowを試してみる part4 〜Flowの中身〜
前回に引き続きの紹介。
紹介したFlowについては、私も執筆に参加した本でさらに詳しく記載しています。
一度手に取ってみてください♪
Nutanix Enterprise Cloud クラウド発想のITインフラ技術 (翔泳社)
関連記事
■ CEでNutanix Flowを試してみる part1 〜Flowの概念〜■ CEでNutanix Flowを試してみる part2 〜マイクロセグメンテーション〜
■ CEでNutanix Flowを試してみる part4 〜仮想マシンの隔離〜
■ CEでNutanix Flowを試してみる part4 〜Flowの中身〜
前回に引き続きの紹介。
紹介したFlowについては、私も執筆に参加した本でさらに詳しく記載しています。
一度手に取ってみてください♪
Nutanix Enterprise Cloud クラウド発想のITインフラ技術 (翔泳社)
コメント
コメントを投稿