Security Feed

2017/11/08

AHVのネットワークの新機能 パート4

本記事の原文はNutanixコミュニティのブログNutanix Connect Blogの記事の翻訳ヴァージョンです。原文の著者はNutanix社のStaff Solutions ArchitectのJason Burns氏によるものです。原文を参照したい方はWhat’s New in AHV Networking Part 4をご確認ください。情報は原文の投稿時のままの情報ですので、現時点では投稿時の情報と製品とで差異が出ている場合があります。

当社のNutanix社製品についてはこちら。本ブログのNutanix関連記事のまとめページはこちら

ネットワールドのNutanix関連情報はぜひ以下のポータルから取得ください(初回はID、パスワードの取得が必要です)。

Fig297

本シリーズの以前の記事で、我々はNutanixがどのように仮想化スイッチ内にアプリケーションポリシーを実装し、アプリケーションのトラフィックに対してセキュリティを提供しているのかを見てきました。AHVマイクロセグメンテーションはレイヤ2からレイヤ4までの与えられたポリシー定義をベースにしたルールを実装しています。つまり、定義からアドレスやプロトコルやポートを自動的に展開するのです。

しかし、幾つかのタイプのトラフィックではシンプルなルールでは提供ができない、内部的な検査が必要な場合もあり、そこではネットワークファンクション仮想化(NFV)が必要となってきます。トラフィックの中にウィルススキャンの機能やパケットを深く検査する機能を取り込んだりするためには、我々はもっとネットワークの高いレイヤへと目を向けなくてはなりません ー つまり、もっと多くのリソースを必要とすることになります。Nutanix AHVのネットワーキングスタックでは、ネットワークトラフィックフローを収集したり分析したりするために仮想化されたネットワークファンクションを挿入してこうした検査を行うことができます。

このブログのシリーズは遡ること6月にNutanix .NEXT DCでアナウンスされたワンクリックネットワーク実現するのに役立つAHVの機能を取り上げます。

パート 1: AHV ネットワーク 可視化 

パート 2: AHV ネットワーク 自動化と統合

パート 3: AHV ネットワーク マイクロセグメンテーション

パート 4: AHV ネットワーク ファンクションチェイン(本記事)

AHVネットワークファンクションチェイン

現在AHVの管理者はネットワークファンクションチェインをAHVネットワーク(AHVホスト上の単一VLANが対象です)全体からトラフィックをリダイレクトすることで作成します。例えば、Exchangeネットワークの全てのトラフィックをファイヤウォールアプライアンスへとリダイレクトすることができます。将来のリリースにおいてNutanixはファンクションチェインがもっときめ細やかなレベルで運用できるようにそしてPrismベースのUIからそれが行えるように計画をしています。こうした改善の計画についての幾つかについては以下で述べていきます。

直近の記事で、アプリケーションポリシーでサンノゼの人事部がExchangeのエッジトランスポート層と通信ができるように許可しました。この例を拡張して、「East West ファイヤウォール」サービスチェインを使って、ポリシーの作成中に特定のトラフィックをネットワークファンクション仮想マシンにリダイレクトするようにしてみましょう。そうすることで「East Westファイヤウォールアプリケーションの検査が終われば、サンノゼの人事がExchangeエッジトランスポート層にアクセスできるようにする」というポリシーを定義することができるのです。

Fig294

上の画像はPrism内のファンクションチェインの管理UIのもので、次のリリース時には利用ができるようになるものです。Redirect through service chain(訳注:サービスチェイン経由でリダイレクト)にチェックを入れることでただのワンクリックでトラフィックを特別なファイヤウォールサービス仮想マシンへとリダイレクトし、さらなる処理を行うことができます。トラフィックが常にこの経路を通ることを保証するために、我々はAHVホスト内の仮想化スイッチ内部にいくつものルールを実装しました。以下のダイアグラムはトラフィックパス内のEast Westファイヤウォールを顕しています。あらゆる仮想マシンへのまたは仮想マシンからのトラフィックは最も右のブリッジ br0 から内部のスイッチへと至ります。もしくは物理ネットワークへのアップストリームとしてスイッチされます。この例ではbr.nf ブリッジ(またはネットワークファンクションブリッジ)内のルールで人事の仮想マシンのトラフィックをリダイレクト ー 右または左へと ーしてネットワークファンクション仮想マシンへと導きます。

Fig295

br0.local ブリッジは一つの仮想マシンが他の仮想マシンと直接通信することを一切許しません。特定の仮想マシンからのトラフィックは残りのブリッジチェインを流れながら処理され、ブリッジチェインから仮想マシンへのトラフィックも同様です。

ルールを作成し、特定のトラフィックをネットワークファンクションチェイン経由で流せるようになったので、今度はどのようにサービスもしくはエージェント仮想マシンを展開するのかを見ていきましょう。それぞれのネットワークファンクションはそれぞれのAHVホスト上で動作させなくてはなりません。こうすることでサービスチェインをホスト上に構成し、ファンクション仮想マシンを展開して、チェインの中に引っ掛けることができます。もしもこの手順を手動ですべてのホスト場で行わなければならないとしたら、こうした手順内では多くのエラーが起こる可能性が含まれてきます。

ですが、それぞれのステップを手動で実施する必要はありません。なぜなら、次のリリースにはNutanix Calmが含まれており、これを助けてくれるからです。Calmはパロアルト社のVM-シリーズファイヤウォールをNutanix AHVホスト上にブループリントに沿って展開するだけでなく、必要に応じてコントローラーを構成することもできます。ですから上で示したように新しいEast Westファイヤウォールサービスを使い始める際にセキュリティポリシーが正しいことだけをチェックすればよいのです。

Fig296

AHV上で動作しているあらゆる仮想マシンがネットワークファンクション仮想マシンを利用することができます。上で紹介したパロアルトネットワークスのVM-シリーズのファイヤウォールはNutanix上に展開できるNFVの例のホンの一つです。お使いになりたい製品を自由に使うことができます。私のラボではオープンソースのツールを仮想マシンとして動作させ、ファンクションチェインではAHV上の全てのホストにパケットキャプチャとIDSの機能を提供しています。

シリーズのサマリ

今回のシリーズでは同時にどれだけ可視化自動化、そしてセキュリティが近年のデータセンタネットワーク戦略の中で重要なコンポーネントになったのかを述べてきました。Nutanix AHVは接続性とフローマッピングの両方をPrismで可視化しています。自動化はベンダーに依存しないライフサイクルイベント通知とCalmによる複雑なネットワークサービスの展開と構成の両方によって提供されます。複数の段階で階層化された絶妙なネットワークセキュリティを提供しています:

  • 接続性とフローの可視化によって怪しいものがないか見つけられる
  • トップオブラック(ToR)スイッチを統合することで、ほんとうに必要な接続性だけが有効になり、必要のなくなった接続性はすぐに削除される
  • 仮想化スイッチレベルのポリシーベースのマイクロセグメンテーションで正しいフローのみがネットワーク内で許可される
  • 先進的なセキュリティサービスとの統合でこうしたトラフィックをっ更に深く検査することができる
  • Calmの自動化によって管理上の手間を緩和し、先進的なセキュリティサービスまたはNFVのシンプルな展開を可能とする

こうしたネットワークの機能を組み合わせることでワンクリックネットワークは現実のものとなるでしょう。

今回のシリーズはお楽しみいただけましたか? コメント(※訳注、日本語版のコメントはぜひ当社のTwitterへ)かNutanixのTwitterにお願い致します。もしも技術的にもっと深く知りたいのであれば、今はまだここまでです。

議論を続け、皆でオンラインフォーラムでつながっていきましょう。

© 2017 Nutanix, Inc. All rights reserved. Nutanix, AHV, and the Nutanix logo are registered trademarks or trademarks of Nutanix, Inc. in the United States and other countries. All other brand names mentioned herein are for identification purposes only and may be the trademarks of their respective holder(s).

Forward-Looking Statements Disclaimer

This blog includes forward-looking statements, including but not limited to statements concerning our plans and expectations relating to product features and technology that are under development or in process and capabilities of such product features and technology and our plans to introduce product features in future releases. These forward-looking statements are not historical facts, and instead are based on our current expectations, estimates, opinions and beliefs. The accuracy of such forward-looking statements depends upon future events, and involves risks, uncertainties and other factors beyond our control that may cause these statements to be inaccurate and cause our actual results, performance or achievements to differ materially and adversely from those anticipated or implied by such statements, including, among others: failure to develop, or unexpected difficulties or delays in developing, new product features or technology on a timely or cost-effective basis; delays in or lack of customer or market acceptance of our new product features or technology; the introduction, or acceleration of adoption of, competing solutions, including public cloud infrastructure; a shift in industry or competitive dynamics or customer demand; and other risks detailed in our Form 10-K for the fiscal year ended July 31, 2017, filed with the Securities and Exchange Commission. These forward-looking statements speak only as of the date of this presentation and, except as required by law, we assume no obligation to update forward-looking statements to reflect actual results or subsequent events or circumstances.

記事担当者: マーケティング本部 三好哲生 (@Networld_NTNX

Ntc2017_2

今回はサービスチェインについてです。現時点ではVLANを全て引っ掛けてしまうよう実装のようでちょっともったいない感じもしますが、将来的にもっと細かい設定が・・・とあるので期待しましょう。そしてこちらも予想通りCalmでNFV仮想マシンを自動展開・構成できるようです。

Calmに対応したNFVであれば展開/構成までがワンクリック・・・本当にインフラに使う時間が削減されそうです。

以前も述べたようにNutanixを使う時間が少なければ少ないほどよい・・・そんな未来がネットワークの設定の分野でも間近に迫っています!

2017/10/18

Nutanix エンタープライズクラウドの最大の導入効果(みなさんが思っているものと違うハズ・・・)

本記事はNutanix社のオフィシャルブログの翻訳版です。原文を参照したい方はThe Single Biggest Benefit Of Enterprise Cloud (And It’s Not What You Think)をご確認ください。情報は原文の投稿時のままの情報ですので、現時点では投稿時の情報と製品とで差異が出ている場合があります。

当社のNutanix社製品についてはこちら。本ブログのNutanix関連記事のまとめページはこちら

ネットワールドのNutanix関連情報はぜひ以下のポータルから取得ください(初回はID、パスワードの取得が必要です)。

全世界の組織はパブリッククラウドへの注目を高めつつあります ー インフラストラクチャのコストを削減するのではなく(分析によると殆どの組織において、多く利用されているアプリケーションのような予測可能なワークロードに対してはクラウドは効果になることがわかっています)、よりダイナミックになりつつある市場環境でのビジネスにより速く、そして効率的に対応する能力を高めるために。

最近のIDCによる調査では、Nutanixを利用することで従来型の三階層インフラストラクチャ(集中ストレージ + ストレージネットワーク + コンピューティング)に対して、インフラストラクチャおよび他の様々な節約によって劇的な削減を実現できるとしています。最も大きな成果はビジネスの生産性の向上が積み上がり2乗の効果があがっていきます。

NutanixとIDCによる調査

NutanixがIDCに依頼したホワイトペーパーのタイトルは「Nutanixはエンタープライズアプリケーションのためのコスト効率、効率性、拡張性のプラットフォームとして強力な価値を提供している (原タイトル : Nutanix Delivering Strong Value as a Cost-Effective, Efficient, Scalable Platform for Enterprise Applications)」(2017年8月)(レポートはこちらからダウンロードできます)で、エンタープライズアプリケーションをエンタープライズクラウド上に展開することの詳細を調査しています。Nutanixがこの調査にお金を支払っていますが、調査自体は独立したものであり、平均12,331人の社員、192人の情報システム部門スタッフ、平均して62のNutanixかDell XCもしくはLenovo HXのノードで861の仮想マシンを運用している11の組織に対して行われたものです。

Fig286_2

参照元: IDC White Paper, sponsored by Nutanix, Nutanix Delivering Strong Value as a Cost-Effective, Efficient, Scalable Platform for Enterprise Applications, August 2017(ネットワールドによる補足入り)

上のチャートから読み取れるように、Nutanixソリューションは素晴らしいインフラストラクチャにおけるコスト削減以外にも、スタッフとユーザーの生産性の向上で優れた削減効果を発揮しています。

ビジネスの生産性による削減は俊敏さ、拡張性、そしてパフォーマンスと関連し、全ての効果の中で57%もの位置を占めています。

クラウドのような俊敏性とより低いコストとさらなる統制

AWSのウェブセミナーに参加すると、この会社がパブリッククラウドがもたらしたスピード向上と俊敏性についてどれだけ頻繁に話をしているかに気が付くとおもいます。AWSのウェブサイト (https://aws.amazon.com/what-is-cloud-computing/)から:

クラウドコンピューティング環境では、新しいITリソースはただの1つのクリックで利用でき、これはつまり、皆さんの開発チームがリソースが利用できるようにするための時間を数週間からほんの数分へと削減するということを意味します。この結果、組織には劇的な俊敏性の向上がもたらされます。何かを利用したり開発するために費やされるコストと時間が劇的に低減されるからです。

Nutanixのエンタープライズクラウドはお客様に低コストで統制のあるオンプレミスの環境とパブリッククラウドのような俊敏性と生産性の両方を実現します。これらの効果によって、会社の情報システムチームは、単に「火を灯し続ける」ことにチームのリソースを費やすのではなく、プロジェクトをよりビジネスに対しての付加価値になるものにシフトすることができます。

Nutanixのお客様の言葉です :

「Nutanix環境を管理しているエンジニアは現在1名だけです、以前はここに5人もの人手が必要でした。我々は従来に比べてテクノロジーをビジネスへの貢献という意味では3倍以上の結果を上げており、より多くのビジネスのための機能を提供できています。」

IDCのホワイトペーパーはビジネスの生産性と俊敏性の向上による節約効果は以下の3つの分野からなるとしています : 俊敏性/拡張性/パフォーマンス、ダウンタイムの削減、そしてセキュリティの向上です。

俊敏性/拡張性/パフォーマンス : Nutanixのお客様はIDCの調査に対してコンピューティングとストレージリソースの展開とアップグレードが飛躍的に早くなり、劇的にスタッフの時間を削減できたと述べています。一方で従来のインフラストラクチャと比べ、特筆すべきほど優れたパフォーマンスを実現しているとしています。情報システム部門がビジネス部門からの要求に常に追従できる能力を備えたことで、売上の向上に貢献しています。

「Nutanixでは拡張が簡単です。もっとストレージが、もしくはもっと設備が必要になったとしたら、単に追加すればよいのです。これはとても重要な事です。というのも、我々のビジネス部門は追加システムやキャパシティや彼らが必要としているものを待つ必要がなくなるということだからです。結果としてお客様を失うリスクを回避できるのです。」

ダウンタイムの削減 : Nutanixのエンタープライズクラウドはアプリケーションやサービスの非計画な停止の頻度や時間を削減するだけでなく、災害復旧や障害無害化の能力を向上させることも実現します。調査によると組織は非計画な停止による社員への影響を94%も削減できたとしています。これはNutanixを利用していて生産性を失ったという時間が1年間で4分だけと言い換えることもできます。

「Nutanixを利用していて2013年から1度もダウンタイムがありません。ワンクリックアップグレード方式も取り入れています。ですからNutanixがソフトウェアをリリースする度に新しいソフトウェアアップグレードを実装に取り込むことができていますし、その際にシステムがダウンするということはありません。単にOSをワンクリックアップグレードするだけなのです。」

セキュリティの向上 : Nutanixは開発ライフサイクルを通じてセキュリティが保たれています。設計と開発から検証と要塞化にいたるまでです。また、自身の技術的セキュリティ実装ガイド(Security Technical Implementation Guide ー STIG)も開発しており、これによってセキュリティの自動化と自己治癒モデルが実現する耐え、お客様がセキュリティを維持するのに役立っています。

「PCIコンプライアンスに関連する監査の観点から、我々は定期的にシステムにパッチを当ててメンテナンスを行っています。Nutanixはこれを実現することを非常に簡単にしてくれます。」

情報システム部門スタッフの生産性の向上

Fig287 参照元: IDC White Paper, sponsored by Nutanix, Nutanix Delivering Strong Value as a Cost-Effective, Efficient, Scalable Platform for Enterprise Applications, August 2017(ネットワールドによる補足入り)

俊敏性と市場に対する迅速な投入について大きく影響をあたえるのが情報システム部門スタッフの生産性の向上です。IDCは平均的にNutanixを利用した場合の管理に費やされる時間の削減率は61%であるとしました。

「8人の人手が必要な状態からNutanix環境に変えることで2人で管理ができるようになりました。その代わりに我々は店舗のフロアの自動化ソリューションの設計に多くの時間をつぎ込むことができています。従来この作業は非常に手のかかるものでした。ですから、ITをビジネスに活用することでビジネスに劇的な結果をもたらすことができています。」

Nutanixを利用することでのご自身の効果を計算する

IDCの調査はNutanixを導入することによる効果は年間平均で424万ドルになるとしています。この削減効果は4つの分野からなります :

ITインフラストラクチャのコスト削減と投資抑制: 維持管理、電力、設備、ライセンス、災害復旧から18万9,400ドル(100ユーザーあたり 2,281ドル)。

情報システム部門スタッフの生産性の向上: 情報システム部門スタッフが従来型のインフラストラクチャの展開、管理、そしてサポートにかかる時間を61%削減することによる107万ドルの削減 (100ユーザーあたり1万2,884ドル)。

リスクの無害化: 非計画な停止削減と早期の解決による 540,900ドル(100ユーザーあたり 6,516ドル )。

ビジネスの生産性の向上: 俊敏性、拡張性、パフォーマンスに加え高いユーザーの生産性によるビジネスの成果の向上によって244万ドル(100ユーザーあたり 2万9,395ドル)。

皆さんはどれだけの削減ができましたか? レポートを読んでご自身向けのカスタムヴァージョンをこちらのあなた自身の削減についてから入手して下さい。

Forward-Looking Statements Disclaimer

This blog includes forward-looking statements, including but not limited to statements concerning product performance, possible cost savings from utilizing our products, competitive position and potential market opportunities. These forward-looking statements are not historical facts, and instead are based on our current expectations, estimates, opinions and beliefs. The accuracy of such forward-looking statements depends upon future events, and involves risks, uncertainties and other factors beyond our control that may cause these statements to be inaccurate and cause our actual results, performance or achievements to differ materially and adversely from those anticipated or implied by such statements, including, among others: failure to develop, or unexpected difficulties or delays in developing, new product features or technology on a timely or cost-effective basis; delays in or lack of customer or market acceptance of our new product features or technology; the introduction, or acceleration of adoption of, competing solutions, including public cloud infrastructure; a shift in industry or competitive dynamics or customer demand; and other risks detailed in our Form 10-Q for the fiscal quarter ended April 30, 2017, filed with the Securities and Exchange Commission. These forward-looking statements speak only as of the date of this presentation and, except as required by law, we assume no obligation to update forward-looking statements to reflect actual results or subsequent events or circumstances.

© 2017 Nutanix, Inc. All rights reserved. Nutanix, the Enterprise Cloud Platform, and the Nutanix logo are registered trademarks or trademarks of Nutanix, Inc. in the United States and other countries. All other brand names mentioned herein are for identification purposes only and may be the trademarks of their respective holder(s).

記事担当者: マーケティング本部 三好哲生 (@Networld_NTNX

Ntc2017_2

今回は前々回と同様にIDCの調査結果からの投稿です。前々回は市場におけるシェアについての調査でしたが、今回はIDCが実施したNutanixの導入効果についてのものです。Nutanixを利用するとインフラコストが下がる? 管理コストが下がる? ダウンタイムが削減される? テクノロジーの観点からはこうした回答しか出てきませんが、Nutanixを導入するとなんと、ビジネスの成果があがるのです! つまり、Nutanixをつかって得られる本当の効果は、Nutanixを使っていない(インフラの管理から時離れたた)時間をつくることができるということになります。

当社もロボットを導入したり、AIを利用したりと様々な生産性を高める社内取り組みをしていますが、インフラの導入や管理、復旧などに頻繁に時間を取られているような状況ではこうした取り組みは中途半端に終ってしまいます。生産性の向上は働き方改革を含め今後の日本では非常に重要です。デジタル革命と働き方革命というキーワードは表裏一体で、そこでしっかりとした実績を挙げられるソリューションはなかなかないと思います。是非導入をご検討下さい。

2017/09/20

AHVのネットワークの新機能 パート3

本記事の原文はNutanixコミュニティのブログNutanix Connect Blogの記事の翻訳ヴァージョンです。原文の著者はNutanix社のStaff Solutions ArchitectのJason Burns氏によるものです。原文を参照したい方はWhat’s New in AHV Networking - Part 3をご確認ください。情報は原文の投稿時のままの情報ですので、現時点では投稿時の情報と製品とで差異が出ている場合があります。

当社のNutanix社製品についてはこちら。本ブログのNutanix関連記事のまとめページはこちら

ネットワールドのNutanix関連情報はぜひ以下のポータルから取得ください(初回はID、パスワードの取得が必要です)。

Fig279

本シリーズの以前の投稿で、我々はネットワークの可視化と自動化がどのようにNutanixの管理者の人生をシンプルにしてくれるのかを見てきました。しかし、単に接続を実現して、またはアプリケーションの通信の様子を可視化するだけでは十分とはいえません ー 我々は外部、もしくは内部からのネットワーク攻撃両方に対しての保護を行わねばなりません。

セキュリティの提供方法で最も良い方法はレイヤー化されたアプローチです。そのレイヤのうちの一つがマイクロセグメンテーションです。これが今回の記事の主題です。そして次のレイヤも探検します。ネットワークファンクションチェインと呼ばれるもので、これは次の記事となります。マイクロセグメンテーションの機能は将来のリリースでリリースされる予定です。

このブログのシリーズはNutanix .NEXTでアナウンスされたAHVのワンクリックネットワーク、優れた可視化、自動化、そしてセキュリティを実現する機能を取り上げます。

パート 1: AHV ネットワーク 可視化 

パート 2: AHV ネットワーク 自動化と統合

パート 3: AHV ネットワーク マイクロセグメンテーション

パート 4: AHV ネットワーク ファンクションチェイン

AHVのネットワークマイクロセグメンテーション

期待する状態またはその意図を宣言するという、ポリシーベースのアプローチによって、NutanixのAHVのマイクロセグメンテーションでネットワークの実装の詳細を気にすること無く、アプリケーションの保護を行うことに集中することができるようになります。このアプローチは従来型のIPアドレスとポートをベースとしたトラフィックの許可/却下のリストを利用するルールベースのファイヤウォールとは根本的に異なっています。

我々がファイヤウォールのルールをポリシーへと抽象化する際に、私は単に「人事の本番系環境は人士の開発系の環境とは絶対に通信できちゃマズイ」というような具合に言います。このような直接的なコマンドをうまく使うために、AHVは管理者に柔軟な、カテゴリと呼ばれるテキストベースのタグを仮想マシンにアサインできるようにしています。例えば「Environment : Production(環境:本番環境)」や「Department : HR (組織:人事)」という具合です。単一の仮想マシンを複数のユーザー定義のカテゴリへアサインすることができます。仮想マシンにアサインされたカテゴリがどのポリシーをその仮想マシンへ適応するかを決定します。

ポリシーの定義にカテゴリを利用することで、どんなネットワークアドレスがその通信に利用されるのかということは気にする必要がなくなります。古いルールベースのアプローチでは手動で本番環境のアドレスと開発環境のアドレスを指定し、物理ファイヤウォールにどうにかして入れ込む必要がありました。もしもアドレスが変わったとしたら、ファイヤウォールを更新しなくてはなりませんでした。悪くすると、このルールをネットワークのレベルで物理サーバ間で適応しなければならなくなっていました。仮想化によって、同一ホスト内の1つの仮想マシンとそれとは別の仮想マシンを保護する方法を見つけなくてはならなかったのです。

Fig280

マイクロセグメンテーションは上のポリシーベースのアプローチをAHVホストの仮想化スイッチ内に実装された仮想マシンのNICレベルの分散ファイヤウォールとを結合します。すべての仮想マシンのトラフィックは必ずこのファイヤウォールを通らなければなりません。これによってネットワークは非常にきめ細やかなレベルでセグメント化することができるのです。ー ですから「マイクロセグメンテーション」なのです。

分散ファイヤウォールはアプリケーションレベルのポリシーを実現します。直接的な宣言、たとえば「サンノゼの人事はExchangeのエッジ転送ティアへアクセスできるべきである」というような表現もすぐさまAHVクラスタの全ての仮想化サーバ上のレイヤ2から4のファイヤウォールルール上に実装することができ、更にどんなIPアドレスかMACアドレスが人事に割り当てられており、どんなアドレスがExchangeに割り当てられているということは気にする必要はありませんし、注意深くトラフィックパスがファイヤウォールを通ることを確認する必要もありません。AHVは望むアプリケーションポリシーを検証したり、実装したりすることをシンプル化し、AHVのファイヤウォールは同一ホスト上にある仮想マシン間のトラフィックはもちろん、ネットワークアドレスが変わったとしてもトラフィックを監査することができます。重要なことは、ポリシーは仮想マシンのIPアドレスやMACアドレスが変わっただけでは廃棄されたりはしないということです。それぞれの変更はシステムで行われているからです。

Fig281

NutanixのAHVのマイクロセグメンテーションは2つの手順でこうしたアプリケーションのポリシーを作成します。最初の手順はルールを監視するだけで、それを強制することはしません。違反するものがログに書き出され、管理者へ表示されますが、完全に許可されています。この繰り返しのアプローチによって、自身のアプリケーションのプロファイルを正確に反映したポリシーを作ることができます。アプリケーションの実際の振る舞いをも勘定に加えたポリシーに満足した際に、Applyボタンを押して、次の手順へと進みます。つまり、ポリシーを強制します。ポリシーに関する違反は今後はログに書き出され、更にドロップされるようになります。

レイヤ2からレイヤ4までの現実世界でのアプリケーションの振る舞いをベースとしたポリシーを作成するツールが手に入りました。次の記事ではレイヤ4もしくはそれ以上の仮想化サービスとの統合について取り上げます。

議論をそして、皆さん同士のつながりをフォーラムで続けていきましょう。

Forward-Looking Statements Disclaimer

This blog includes forward-looking statements concerning our plans and expectations relating to the availability of new technology and product features. These forward-looking statements are not historical facts, and instead are based on our current expectations, estimates, opinions and beliefs. This information is for informational purposes only, and the development, release, and timing of any features or functionality described remains at our sole discretion. The information provided is not a commitment, promise or legal obligation to deliver any features or functionality and it should not be relied on in making a purchasing decision. The accuracy of such forward-looking statements depends upon future events, and involves risks, uncertainties and other factors beyond our control that may cause these statements to be inaccurate and cause our actual results, performance or achievements to differ materially and adversely from those anticipated or implied by such statements, including, among others: failure to develop, or unexpected difficulties or delays in developing, new product features or technology on a timely or cost-effective basis; the introduction, or acceleration of adoption of, competing solutions, including public cloud infrastructure; a shift in industry or competitive dynamics or customer demand; adoption of new, or changes to existing, international laws and regulations; and other risks detailed in our quarterly report on Form 10-Q for the fiscal quarter ended April 30, 2017, filed with the Securities and Exchange Commission. These forward-looking statements speak only as of the date of this press release and, except as required by law, we assume no obligation to update forward-looking statements to reflect actual results or subsequent events or circumstances.

© 2017 Nutanix, Inc. All rights reserved. Nutanix, AHV, and the Nutanix logo are registered trademarks or trademarks of Nutanix, Inc. in the United States and other countries. All other brand names mentioned herein are for identification purposes only and may be the trademarks of their respective holder(s).

記事担当者: マーケティング本部 三好哲生 (@Networld_NTNX

Ntc2017_2

さぁ、いよいよマイセグが出てきました。大昔にこんな記事を書いていますが、考え方自身は大きく変わっていませんね。AHVというハイパーバイザーレイヤで実装されたファイヤウォールによって、アプリケーション(仮想マシン)一つ一つに柔軟なタグ付けを実現した上で、そのタグ同士の通信を制御する、SDNの強力なユースケースの一つです。もちろんNutanixはESXiハイパーバイザーに対応していますので、ESXiハイパーバイザーを利用している場合にはNSXを利用すればこれまでもこれが実現できていたわけですが、AHVにその機能が搭載されることによって遥かに低コストでこれを実現できるようになってきました。

VDI環境ではマルウェアの拡散防止に強力な効果を発揮しますので、VDI on AHVは非常に強力なセキュリティを備えた要塞環境と呼べるようになるのではないでしょうか。今後リリース後には当社でも様々なユースケースをテストしたいと考えています。

2017/02/01

ランサムウェアの被害が広まる??

日本国内でもランサムウェアの被害の件数と身代金の支払額が大幅に上がっているようです。

”ランサムウェア 2016”で検索するだけでもかなりの記事が出てきます。

被害は、一般企業よりも、医療公共教育関係が多く、全体の8~9割を締めています。報道される事例もあるわけですが、氷山の一角であろうと推測されます。

2016年の統計では、Q2からQ3で急激に件数が延び4倍に達したとの報告があります。

2017年も始まり1ヶ月が経ちますが、今年もウカウカしていられない状況が続きそうです。

また、身代金を支払っても、100%復旧できるかというとそうではないようです。 半数近くがデータが戻らない状況があったようです。 酷い話です。

始めから感染しなければ何も問題がないわけですが、お金を払った後でデータが元に戻らないのは問題です。

ついでに、偽のランサムウェア(感染していないけど攻撃したように見せかけて身代金を要求する)で身代金を支払った事例もあるようで、被害を恐れる心理面に漬け込む悪質な事例です。

インフルエンザと同様避けて通れない状況になってきていますので、感染しても大丈夫なように手立てを考えるべきだと思います。ネットワークには繋がり続けているわけですから、必要な対策をするべきでしょう。

セキュリティ面とデータ保護の2面から取り組むべきです。セキュリティ対策だけでは感染してからは手立てがないので、大事なデータは事前にバックアップが必要です。

それも出来る限り長い期間のバックアップを残すことが重要です。

今年もPCやスマホ、企業だけではなく個人のデータについてもバックアップを考えるよい機会だと思います。

是非、弊社のランサムウェア対策をご覧ください。

ランサムウェア対策:http://www.networld.co.jp/solution/ransomware/

Edit by :バックアップ製品担当 松村・安田

2016/11/29

Nutanix 5.0の機能概要(Beyond Marketing) パート1

本記事の原文はNutanix社のPartner Innovation and Vertical Alliances, Sr. Directorを務めるAndre Leibovici氏によるものです。原文を参照したい方はNutanix 5.0 Features Overview (Beyond Marketing) – Part 1をご確認ください。情報は原文の投稿時のままの情報ですので、現時点では投稿時の情報と製品とで差異が出ている場合があります。

当社のNutanix社製品についてはこちら

また、以下のセミナーでも本記事の内容を詳しくご説明しますので、是非ご来場ください!

Nutanix/VMware 2大メーカー ヨーロッパイベントからの最前線
ウィーンで開催された「Nutanix .NEXT Conference EUROPE」とバルセロナで開催された「VMworld EMEA」からの情報 2本立て

AOS 4.7のリリースから5ヶ月が立ち、Nutanixは多くの新機能と改善点を備えたメジャーリリースヴァージョンをアナウンスしようとしています。AOS 5.0は社内ではエンジニアリングコードネーム「Asterix」と呼ばれていたものです。Nutanixによるその機能や改善のリリースのスピードはAWSやコンシューマー業界としか比べることが出来ないほどで、その素晴らしい更新のペースがユーザーを感動させています。このブログの記事ではもうしばらくでリリースされるNutanixのソフトウェアについてご紹介していきます。もしも以前のリリースについてのアナウンスを見たいのであれば以下を読んで下さい。

※訳注 4.7以外の記事についての和訳予定はありません。

本記事は本シリーズの1番目の記事です。2つ目3つ目4つ目

本記事では以下の機能についてご紹介していきます:

  • Cisco UCS B-シリーズ ブレード サーバ サポート
  • Acropolis アフィニティ と アンチ-アフィニティ
  • Acropolis ダイナミックスケジューリング (DRS++)
  • REST API 2.0 と 3.0
  • XenServerのサポート TechPreview
  • ネットワーク可視化
  • 新しいワークロードのためのWhat-if分析と割当ベースのフォーキャスティング(予測)
  • ネイティブのセルフサービスポータル
  • スナップショット - セルフサービスリストアのUI
  • ネットワークパートナーインテグレーションフレームワーク
  • メトロアベイラビリティウィットネス
  • VMフラッシュモードの改善
  • Acropolis ファイルサービス 正式リリース (ESXi と AHV)
  • Acropolis ブロックサービス (CHAP認証)
  • AHVのOracle VM と Oracle Linuxへの認定
  • AHVのSAP Netweaver Stackへの認定
  • ・・・さらにパート2で

今後の数週間でプロダクトマネージャやプロダクトマーケティングマネージャチームが数々のブログ記事を書き上げ、もっと詳細なAOS 5.0の情報が出てきます。その一つ目がShubhika TanejaによるTen Things you need to know about Nutanix Acropolis File Servicesです。

免責事項 : あらゆる将来の製品又はロードマップ情報は製品の方向性を示すことを意図しており、Nutanixが提供するあらゆる情報、コード、機能に対してコミット、お約束、法的な義務が生じるものではありません。この情報を用いて、購入を決めるべきではありません。また、Nutanixは将来の製品改善、機能が最終的に利用できるようになった際に追加での課金を行うことや、最終的に改善された製品や機能のために別途の課金を行うことを現時点では決定していません。

機能や時間軸についてのオフィシャルな情報についてはNutanixのオフィシャルなプレスリリースをご参照ください。(こちら)

さて、法的な免責事項に目を通したら、さぁ、初めましょう!

プラットフォーム

Cisco UCS B-シリーズ ブレード サーバ サポート

本日、 .NEXT EMEAの中でNutanixは今後のCisco UCS B-シリーズ ブレード サーバのサポートについてアナウンス致しました、以前にアナウンスしたC-シリーズのラックマウントサーバのサポートに加えてのサポートです。

Fig092

現在、UCS B200-M4ブレードは物理容量3.2TBのオールフラッシュストレージに限定されています。フラッシュの制限によってストレージ容量の要件に見合わないという事が多くの場合でいえます。Ciscoや他のハイパーコンバージド製造メーカーは結果としてそのソリューションをラックマウントサーバに限定してきました。

NutanixはB-シリーズブレードのストレージ容量の不足の問題をストレージ専用ノードをB-シリーズのブレードのクラスタに追加することで解決させました。リリース後はオールフラッシュのC240-M4SXのストレージ専用ノードをクラスタに追加することが出来、最大でノードあたり24本まで1.6TBのSSDを追加することが出来ます。Nutanix固有のコンピューティングとストレージを異なった割合で自由自在に組み合わせられるという能力がこれを実現しました。

ストレージ専用ノードはUCSのお客様のブレードとC240間でのバランスのチューニングも実現することになります。更にはコンピューティングとは独立したストレージの拡張も実現します。古い筐体が容量が一杯になる度に新しいストレージ装置に巨大な投資を行うのではなく、お客様は必要に応じて順次環境を拡張して行けるようになるのです。

ストレージ専用ノードはNutanix AHVを利用して動作しています、ですから、追加で仮想化ソフトウェアのライセンスのためのお金が必要になるということはありません。AHVのストレージ専用ノードはESXiのノードと同じクラスタ内に混在させることが可能です。

Fig093

AMF(Application Mobility Fabric - アプリケーション モビリティ ファブリック)

Acropolis アフィニティとアンチ-アフィニティ

仮想マシン-ホストの固定アフィニティ

管理者が特定のワークロードが同一ホスト内で動作する事を保証したいという場合。例えば、多くの会社では、アプリケーションを仮想マシン内で動作させていますが、特定のアプリケーションはライセンシングの規約から、特定のホストに紐付いているということが有ります。管理者は仮想マシンに対してホストアフィニティルールを設定し、これらの仮想マシンを特定のホストで動作させ、他のホストへと移行しないようにすることが出来ます。

  • Acropolisは以下のHAやメンテナンスモードの最中の仮想マシンをサポートすることが可能です。
    • 予約モードのHAでは、仮想マシンの再起動のためのリソースが別のアフィニティホスト上に予約されます。Acropolisはこの予約が保証されない場合には仮想マシンの電源が入ることを許可しません。
    • ベストエフォートのHAの場合、Acropolisは別のアフィニティホスト上で再起動が出来ない場合、仮想マシンの電源をオフにします。
    • メンテナンスモードの場合、Acropolisは仮想マシンが別のアフィニティホストへと退避できない場合には仮想マシンの退避を行いません。

仮想マシン-仮想マシン 優先的アンチ-アフィニティ

特定の仮想マシン同士が同じホストで動作するべきではないと言う場合です。例えば、殆どの組織ではドメインコントローラーはいかなる場合においても最低一つは残って稼働し続けて欲しいという要件があります。このために組織はパフォーマンスの観点からは同じホストで仮想マシンが動作するほうが良い結果になる場合であっても、仮想マシン同士にアンチ-アフィニティルールを設定し、仮想マシン同士が別々のホストで稼働するようにというルールを設定します。

  • 結果として
    • 仮想マシンは優先的アンチ-アフィニティポリシーを持つ。
    • スケジューラーによる配置の最中はポリシーに違反することもある。
    • もしDRSが違反を解消できない場合、警告が発報される。

アフィニティの説明はこちらも参照ください。http://www.virtualizationadmin.com/blogs/lowe/news/affinity-and-anti-affinity-explained.html

Acropolis ダイナミック スケジューリング(DRS++)

システム管理者はDRSのコンセプトは既にご理解いただいていると思います。DRSはコンピューティングワークロードを利用可能な仮想化環境内のリソースでバランスします。- 今日DRSはほとんどの仮想化スタックの一部といえるようになっています。

DRSはキャパシティプランニングと密接に関係しています - キャパシティプランニングはより長い時間軸を対象としたものであるという例外はありますが、DRSによる最適化はキャパシティの制約がある環境で、もっと短い間隔で実行されます。

AHVのダイナミックスケジューリングは最初は既存のDRSの実装とさほど大きく変わるものでは無いかもしれませんが、Nutanixは要素としてコンピューティング、メモリ、そしてストレージのパフォーマンスをも配置決定の考慮に加えます。Nutanixの管理者はAHVのDRSがリソース(CPU、メモリ、そしてストレージIO)の競合やその後の一時的なリソースCPU、メモリ、ストレージIOの競合を事前に回避(または、回避のための推奨事項の生成)して、仮想マシンの電源を入れてくれるので「心の平穏」をもって管理に当たることが出来ます。

REST API 2.0 と 3.0

NutanixのREST APIについての大きな変更が今回のヴァージョンに含まれており、これにはAPIのヴァージョン、後方互換性、APIの衛生化、そして標準化が含まれています。さらに、新しいREST 3.0もプラットフォームの一部として含まれています。

REST 3.0はスケールアウトを意図して作られているAPIであり、組み込みのロードバランサのゲートウェイとして動作します。実装の実際のスキーマ(これは変わる可能性があります)詳細を実現するのではなく、REST 3.0は高いレベルでのユーザーの意図する実際のユースケースのコンセプトを規定するものです。

ユーザーの意図をマッピングすることで ー つまりユーザーが実現したいことをマッピングすることで、NutanixはAPIをパラメーターをセットするだけで与えられた操作を実行できるようにする機会を得ることが出来るのです。Nutanixがここで実現したことは大変なNutanixに固有のビジネスロジックをその呼出元から削除し、Nutanix内部(あるべき場所)へ配置したということです。

新しいNutanix APIポータルは既に利用できるようになっており、開発者は古いものや新しいREST 3.0の意図する仕様を直ぐに見ることが可能です。ポータルではPython、Java、Go言語、PowerShellのサンプルが提供されており、http://developer.nutanix.comまたはhttps://nuapi.github.io/docsでアクセスできます。

Fig094

XenServerのサポート TechPreview

Fig095

これはアナウンスの再掲載となりますが、NutanixはXenServer上で動作しているXenApp、XenDesktop、NetScaler VPXそして、NetScalerを含むCitrixのアプリケーションに対するサポートをNutanixプラットフォームに上で提供することになります。AOS 5.0からXenServerのお客様はXenServer 7をテクニカルプレビューとしてNutanixプラットフォーム上で動作させることができるようになるのです。

プレスリリースについてはこちらをご参照ください。

Prism

ネットワーク可視化

もしもネットワークが誤って構成されたら、アプリケーションの仮想マシンは動作を止めるか、パフォーマンスの低下が起こります。例えばVLANが誤って構成された場合、アプリケーションはそれぞれお互いに通信ができなくなります。ネットワーク構成の不整合、例えばMTUの不整合やリンクスピードの不整合などが起こると、大量のパケットのドロップによってパフォーマンスの劣化が起こります。

ネットワークの問題のトラブルシューティングを難しくしているのは単一のネットワークのパス上にあるすべてのスイッチの構成のミスが原因を作り出す可能性があるからで、管理者はトラブルシューティングを行う際にネットワーク全体の構成を見なくてはならなくなるからです。

これがまさにネットワーク可視化が解決しようとしていることです。各々の仮想マシンから仮想スイッチ、物理ホストのネットワークカード、TOR(トップオブラック)スイッチなどに至るまでのネットワーク全体の表示を提供します。VLAN構成などのネットワーク構成の要素情報も直感的で使いやすいインターフェイスに表示します。管理者は例えば、ユーザーやプロジェクトやホストにグルーピングしながらネットワークを簡単に探索できます。

NutanixはLLDPと/もしくはSNMPを利用してネットワークトポロジを検証します。構成情報をスイッチから取得するためにSNMPを利用します。例えば、ネットワーク状態に加え、それぞれのポートのVLAN情報を収集するためにはSNMPを利用します。一旦仮想と物理のネットワーク要素から構成や統計とともにトポロジの情報を収集し終わると、Nutanixは利用しやすいインターフェイス上にその情報を表示します。(最初のリリースではAHVのみで動作します。)

Fig096

Fig097

新しいワークロードのためのWhat-if分析と割当ベースのフォーキャスティング(予測)

Pay as you go(必要なだけ支払う)

  • クラスタ内であとどれだけの仮想マシンが動作するか?
  • もし1ヶ月後に新しくSQLサーバを追加するとしたら、クラスタは大丈夫か?
  • もし、現在のペースでワークロードが増え続けたらクラスタはいつまで大丈夫か?
  • 一定のワークロードがあり、新しくクラスタを作りたいがどのようなクラスタが必要か?

What-if分析は新しく将来に追加されるワークロードをその追加の時期とともに指定するものです。既存の仮想マシンを例えば、既存の仮想マシンと同じインスタンスが10個追加されたとしたら、という具合に指定することも出来ます。または、既存のワークロードとの差異を%で指定することも可能です。そして、ワークロードの拡張と縮退の両方を指定することが出来ます。そして、ついに、事前定義されたよくあるワークロードをその一つとして指定することが出来るようになりました。

たとえば、ビジネスクリティカルな中規模サイズのOLTPのSQLサーバのワークロードを指定したりすることが出来、what-ifツールはそのワークロードのサイズを見積もることが出来ます。what-if分析ツールは正確なサイジングの見積もりを行うことが出来る理由は、このツールが我々が最初の導入時に推奨構成を割り出すためのNutanixのSizerと統合されているからです。つまり、what-if分析ツールは様々な事前定義されたSQLサーバやVDI、Splunk、XenAppなどのワークロードを利用することができるのです。

Nutanixは既にランウェイ(将来予測)コンポーネント表示を提供していますが、これはキャパシティプランニングのアルゴリズムで異なる様々なリソースのランウェイ(将来予測)を予測し、クラスタ全体のランウェイ(将来予測)を予測しているのです。これを下に、what-if分析は管理者にどうしたノードを追加するべきだという推奨事項を、いつまでに追加するべきだという情報とともに提示することが出来、ランウェイ(将来予測)が本来のランウェイ(あるべき姿)にまで拡張されるようにすることが出来るのです。

一度ワークロードとハードウェアを追加すれば、システムは推奨事項を提示します。what-ifのUIに表示されるものを皮切りに変更やチューニングを行うことも可能です。例えば、様々なハードウェアの推奨構成の追加のタイミングを予算上の制限と調整を行い、ランウェイがどのように変化するのかを見たり、同様にワークロードの追加のタイミングを調整したりすることが出来ます。プライオリティの低いワークロードであれば後からということも有りますよね。あなたにとって最適なワークロードとハードウェアのプランが出来るまで好きなだけチューニングを行うことが出来ます。

Fig098

Fig099

Fig100

Fig101

Fig102

Fig103

Fig104

Fig105

Fig106

Fig107

Fig108

ネイティブのセルフサービスポータル

AOS 4.6ではAHVへのNova、Cinder、Glance、そしてNeutronのドライバーの提供によってOpenStackのサポートが導入されました。OpenStackはマーケットに広く受け入れられつつ有り、Nutanixと完璧に協調動作しますが、OpenStackはネイティブなNutanixソリューションではなく、OpenStackはそれを支えるあらゆるインフラストラクチャとともに動くように作られているため、多くのNutanixの先進的な機能を活用できるようにはなっていません。

NutanixのネイティブなセルフサービスポータルはPrismに統合されており、ITリソースへのアクセス、ポリシー、セキュアなテナントベースのアクセスを実現します。ポータルによってテナントはIT(情報システム部)の介在なくアプリケーションを展開でき、組織は開発者やテナントへAWSのセルフサービスに似たエクスペリエンスを提供することが出来るようになります。

管理者ポータル

  • プロジェクトの作成/管理
  • ユーザーとグループの作成/追加
  • リソースのアサイン
  • アクションのアサイン
  • ショーバックレポートの実行

テナントポータル

  • カタログ(仮想マシンテンプレート、vDisk、Docker Hubのイメージ、アプリケーションテンプレート)からのアプリケーションの展開
  • アプリケーションの監視
  • アプリケーションのリソース利用率の監視

Fig109

スナップショット - セルフサービスリストアのUI

Nutanix AOS 5.0はついに仮想マシンのユーザーがファイルレベルでリストアを行うためのユーザーベースのPrism UIを追加しました。この機能によってユーザーは自身の仮想マシンのファイルやフォルダの復元をセキュアにまた、管理者の手をわずらわせることなく行うことが出来ます。

Fig110

Fig111

Fig112

本日、ウィーンで実施された.NEXTカンファレンスでNutanixはネットワーク接続サービスとネットワークパケット処理サービスを統合、拡張された新しいネットワークのフレームワークについてもアナウンスを行いました。

ネットワーキング、セキュリティパートナーの製品を活用することが出来るサービスの挿入、チェイニングそしてウェブフックの組み合わせによって提供される壮大な可能性を秘めた機能です。

パートナーと共に現在開発中の幾つかのユースケースは:

  • ネットワーク展開のワークフローと対応するNutanix上のワークロード展開のワークフローの自動化
  • パートナースイッチへのオンデマンドでのVLAN展開の自動化
    • アプリケーション(幾つかの仮想マシンの組)がNutanix上で起動する際に、対応する物理ネットワークスイッチが自動的にそのワークロードのための適切なネットワーキングポリシーのもとに構成される
    • Nutanix上からアプリケーションが削除される際に、対応したネットワークポリシーが自動的に物理ネットワークスイッチから削除される
    • Nutanix上の仮想マシンがNutanixクラスタ内の別のホストにライブマイグレーションされる際(同じTORの別のポートや別のスイッチへ接続されている可能性がある)に、対応する以前利用していたスイッチとこれから利用するスイッチの両方に変更を適切にネットワーク構成を行う
  • ネットワークの「仮想マシンからみた表示」をNutanixに収集しパートナースイッチベンダーの情報を元に表示、つまりネットワーク管理者がパートナーのスイッチを管理できるように
  • 「仮想マシン中心」のネットワークの運用表示を提供し、ネットワーク管理者による物理ネットワークのトラブルシューティングをより迅速、より正確なものにする。ネットワーク管理者はパス、フローの追跡、仮想マシン名、タグ、ラベルに対応する統計情報によって根本原因の解析を迅速に行えるようになる。このインテリジェンスはNutanixによって、物理ネットワークデータベースへ仮想マシンの特徴(仮想マシン名と紐付けられたラベル、そして仮想マシンのIPアドレスとMACアドレス情報)として提供されます。
  • LLDPによるトポロジのディスカバリのサポート(Nutanixのノードと対応するTORスイッチノードとのマッピング)

Fig113

単一ネットワークパケット処理(Network Packet Processing - NPP)サービス挿入

NPPはクラスタ全体にサービス挿入し、ネット枠サービスがAHVクラスタ上で動作することを実現するネットワークのフレームワークの一つです。NPPは以下をサポートします:

  • パートナーサービスのイメージとプラグインの登録ワークフロー
  • サービスの展開 - クラスタ全体またはクラスタ内のサブセットに対して
  • ネットワークレベル挿入 - 通信内への割り込みとタップモードでの挿入モード
  • ゲストOSのライフサイクルイベントのプラグイン起動によるパートナーサービスへの通知
  • 対象となる仮想マシンのプロパティの通知 - ネイティブなプロパティ(IPとMACアドレス)とメタデータプロパティ(ラベル、カテゴリ、名前)の両方をサポート
  • サービスへの選択的なトラフィックのリダイレクト(ゲストOSの仮想NICの一部を指定)

パケット処理サービスチェイニングフレームワーク

Nutanixのネットワーキングパートナーは今日ではパケットがAHVネットワークを流れていく際にそれを検査し、変更するか、または廃棄してしまう機能を利用できます。サービスチェインフレームワークはAHVの仮想スイッチを自動構成し、パケットをNutanixパートナーによって提供されてるパケット処理(パケットプロセッサ)仮想マシンイメージやサービスへとリダイレクトするようにします。それによって利用できるサービスは:

  • インライン処理 - プロセッサが仮想スイッチ経由で流れてくるパケットの変更又は廃棄
  • タップ処理 - プロセッサが仮想スイッチ経由で流れてくるパケットを検査する
  • プロセッサチェイン - 複数のプロセッサを利用、同一ベンダまたは複数ベンダで利用できる、別々のサービスを提供するそれぞれをつなげて(チェインして)利用できる

ウェブフックベースのイベント通知(ネットワークオーケストレーション)

Nutanixのネットワーキングパートナーはいつであれウェブフックのイベント経由でクラスタ、ホスト、仮想マシンで発生したイベントの通知を受けとり、すぐに対応することが出来るようになりました。例えば、あるネットワーキングパートナーは仮想マシンネットワークのVLANが変更されたり、仮想マシンがライブマイグレーションして別のホストへ移動した際にパケット検査のポリシールールを適応するようにという警告を上げたいとします。ウェブフックを利用することでパートナーは非常に先進的な問題解決方法を実装し、そのワークフローによって全データセンタを自動化することが出来るようになります。

Fig114

既に統合の終わっているパートナーのデモを幾つか御覧ください。

Brocade

Mellanox

分散ストレージファブリック(Distributed Storage Fabric - DSF)

メトロアベイラビリティウィットネス

Nutanixのメトロアベイラビリティはデータセンタ全体に及ぶ復旧に対してもシングルクリックで優れた仕事をしてくれます。しかしながら、いくらかのお客様はサイト障害なのか、もしくはネットワーク接続障害なのかが明言できない問題であるため、自動的な復旧についての機能を欠いていると感じておられました。ビジネスクリティカルアプリケーションを利用しており、DR手順を実行できるITスタッフがいない場合にはことさらです。

以前はNutanixは自動復旧の機能を備えていませんでした。これはサイトの障害とネットワークのそれの区別を行うことができなかったからです。AOS5.0はこの問題をウィットネス(証言者)仮想マシンを障害ドメインの外側に置くことで解決しました。このウィットネス仮想マシンはそれぞれのメトロサイトとメトロサイトの内部通信とは異なる通信を行い、メトロアベイラビリティにおける復旧の決断の自動化に役立てます。ウィットネス仮想マシンはメトロクラスタ間で自動的にリーダー選出を行うことで、スプリットブレーンシナリオの回避にも役立ちます。

Fig115

VMフラッシュモードの改善

VMフラッシュモードはPrism UIに戻って、更に改善されました! 仮想マシンフラッシュモードは管理者がハイブリッドシステムにおいて、レイテンシが重要となるミッションクリティカルなアプリケーションが動作している特定の仮想マシンをSSD層に置くことを実現します。改善点はハイブリッドシステムにおいて、重要な仮想マシンにオールフラッシュの一貫したレイテンシとIOPS、サービスプロバイダのためのQoSによる階層化やより高いIOPSを提供することです。以前VMフラッシュモードについて記事を書いていますので、興味があれば詳細はそちらへ。

Fig116

Acropolis ファイルサービス(AFS)

Acropolis ファイルサービスがいよいよ正式リリース (ESXi と AHV)

Acroplis ファイルサービス(またの名をAFS)はDSFにネイティブに統合されたコンポーネントであり、Windows ファイルサーバや外部のNetAppやEMC IsilonなどのNASストレージ装置を不要にするものです。AFSはAOS 4.6、4.7ではTech Preview扱いでしたが、AOS 5.0ではいよいよESXiとAHVハイパーバイザ上で正式リリースとなり、Nutanixのサポート対象として本稼働環境で利用できるようになります。

Acropolis ファイルサービス (非同期-DR)

AFSはNOSの非同期-DR由来のネイティブのデータ保護を提供します。仮想マシンとヴォリュームグループは保護ドメインを利用して保護され、他のすべてのDR関連の操作と同様にスナップショットのスケジュールやポリシーを保護ドメイン自身に適応することが可能です。

Acropolis ファイルサービス (AFSクオータ)

AFSはハード、およびソフトのクオータ制限が利用でき、メールによる警告の設定もできるようになりました。ハード制限を利用している場合、クオータを超えることは出来ず、もしもクオータ制限を超えるようなファイルの書き込みが発行された場合、その書き込みは失敗に終わります。ソフトクオータ制限を利用している場合、警告が利用者に送信されますが、データの書き込みは許可されます。

クオータのポリシーはクオータがユーザーか又はグループに対するものか、クオータの制限(GBでのサイズ指定)、クオータのタイプ(ハード または ソフト)、そしてクオータイベントをユーザーに通知するかどうかというルールの組み合わせて指定します。ポリシーの適応は1人のユーザーまたはADグループを含む特定のグループのすべてのユーザーで行うことが出来、標準ポリシーはユーザーもグループも指定されていない場合に適応されます。

Fig118

Fig119

Acropolis ファイルサービス (アクセスベースの一覧 - ABE)

AFSのアクセスベースの一覧では、ユーザーがアクセスの出来る権限を持つファイルとフォルダのみが表示されます。もし、ユーザーがRead(もしくはそれ相当)の権限をフォルダに対して持っていない場合、Windowsは自動的にそのフォルダをユーザーの表示から隠します。ABEはユーザーの共有フォルダの表示をREADアクセス権限によってコントロールします:

  • FIND(ディレクトリ一覧)を利用した場合の応答でユーザーがアクセスできるファイルシステムオブジェクトのみを表示
  • 機微なファイル、フォルダのタイトルをREADアクセス権のないユーザーから隠す
  • 共有レベルの構成パラメーター("hide unreadable(Read権がなければ隠す)")
  • トップレベルフォルダであるHOMEシェアの特別な取り回し

Acropolis ファイルサービス(パフォーマンスと拡張)

AFSは4CPU/16GBの仮想マシンのVMFSあたり500以上の接続が出来るように最適化されました。小さな3ノードで構成されるAFSクラスタでも最大6千万のファイル/ディレクトリまでのファイルサーバにまで拡張することができます。

Acropolis ファイルサービス(パフォーマンス最適化の推奨)

AFSは分散システムとして実装されているため、他のFSVMはアイドル状態にあったとしても幾つかのノード(FSVM)に負荷が偏る可能性があります。そのアクセス不可をノード間または追加のリソースで再分配することでAFSはクライアントにより良いパフォーマンスを提供できます。AFSは平均CPU利用率、SMB接続の数、メモリ割り当て構成、ヴォリュームグループのRead/Writeの利用帯域などを含むの多くの計測値を利用して利用状況を把握し、負荷のバランスを取って解決方法を決定します。

解決策には以下の可能性がありえます:

  • ヴォリュームグループの移動 : いくつかのヴォリュームグループを「ホットな」FSVMから対比し、負荷を下げる
  • スケールアウト : 既存のFSVMが忙しい場合には新しいFSVMを作成しヴォリュームグループを保持させます
  • スケールアップ : CPUとメモリリソースを全てのFSVMに追加します

推奨事項が生成された後に、「Load Balancing」というボタンがファイルサーバタブのRecommendationカラムに表示されますが、管理者はその推奨事項を選択することも、別のもので上書きすることも出来ます:

  • ヴォリュームグループの移動をスケールアップで上書き
  • スケールアウトをスケールアップで上書き
  • スケールアップの推奨事項は上書きができません

一度ユーザーがロードバランスアクションを選択するとタスクが生成されアクションが実行されます。

Fig120

Fig121

Acropolis ブロックサービス(スケールアウトSAN)

Acropolisブロックサービスは高い可用性、拡張性、そして高パフォーマンスのiSCSIブロックストレージをゲストへと提供します。ABSはAcropolisヴォリュームグループサービス上に構成され、AOS 4.5以降利用が可能です。ヴォリュームグループはブロックストレージを提供し、NFSデータストアではサポートされない、もしくはブロックストレージのインスタンス間での「共有」が要件となるようなエンタープライズアプリケーションにとってはとても重要な機能です。ユースケースとしてはESXi上のMicrosoft Exchange、Windows 2008ゲストクラスタリング、Microsoft SQL 2008 クラスタリング、Oracle RACなどがあります。

Acropolis ブロックサービス (CHAP 認証)

  1. Challenge-Handshake Authentication Protocol(CHAP認証プロトコル)
  2. 共有の"秘密"の認証コードと接続元
  3. 相互のCHAP – クライアントがターゲットを認証
  • CHAPは識別子とその試行値を順次変更し、接続元が「録画再生」型の攻撃を仕掛けてくることに対する防御を提供します。CHAPを利用する場合、クライアントとサーバが平文の秘密鍵を知っている必要があり、もちろんこれはネットワーク経由で送っては絶対にいけません。
  • 相互のCHAP認証。ターゲットとイニシエータが相互に認証しあうというセキュリティのレベル。別々の秘密鍵を相互にターゲットとイニシエータにセットします。

その他のABSの改善点:

  • ダイナミックロードバランシング
  • ヴォリュームグループのフラッシュモード
  • IPベースのイニシエータのホワイトリスト
  • イニシエータの管理
  • 幅広いクライアントのサポート - RHEL 7, OL 7, ESXi 6
  • オンラインでのLUNのリサイズ

ワークロードの認定

NutanixはAHVがABS上でOracle VMとOracle Linuxの認定を得たこと、そしてSAP Netweaver stackの認定を得たこともアナウンス致しました。これはビジネスクリティカルアプリケーションをNutanixプラットフォーム上に移したいと考え、OracleとSAPのサポートを待っていたエンタープライズのお客様にとって恋い焦がれたニュースでした。

Fig122

また、本日NutanixはAHVの1-クリックでのネイティブなマイクロセグメンテーションをあなうんすしています。しかしながらこの機能は今後のリリースに含まれることになります。機能と公式な時間軸についての情報はNutanixの公式プレスリリースをご参照ください(こちら)。

Fig123

なんとまぁ、長い機能リストでしょうか、しかも、これで全部ではないのです・・・。直ぐに更に多くの機能で満載のこの記事の第2弾をリリースします。お楽しみに!

記事担当者: マーケティング本部 三好哲生 (@Networld_NTNX

久しぶりのAndreさんの記事ですが、ようやく公開することが出来ました。先週までのPrismの記事ではとことんまで突き詰めるコダワリを感じさせるものでしたが、今回の内容は正に怒涛のようにリリースされる新機能の嵐。

記事の最初の方にも有りますが、これほどの機能追加はコンシューマー向けのアプリケーションやAmazon Web ServiceやSales Force.comなどのクラウドでしか見ることが出来ません。ストレージ機能はブロック、ファイルサービスと既存のストレージベンダーを置き換えるものになりつつありますし、新たに加わったネットワーキングについてもかゆいところに手が届いている感じ、これが一番必要だよね、というどストレートな機能を直球勝負です。エコシステムパートナーとの連携を見ているといよいよHCIというインフラを脱して完全に「プラットフォーム」になってきていると思います。

やっと訳し終えたのに、Andreさんはもう次の記事に取り掛かっているそうです。次はタイムリーに公開できるようにがんばります!

2016/10/27

ランサム[身代金ウィルス]ウェアの対策してますか?

身近な言葉になってきた”ランサム[身代金ウィルス]ウェアですが、企業でもアンチ・ウィルスソフト(セキュリティ対策ソフト、振る舞い検知、隔離用のサンドボックスなど)の導入で防御し対策を行っており、セキュリティの面で語られることが多いと思います。

ただ、セキュリティ対策ソフトからすると、常にパターンファイルの更新を行い、おかしな振る舞いを監視する事象を追いかける形になっています。 つまり、新種が出ると、対策についてはイタチごっこ、盾と鋒で新たな攻撃を受けた後の対策となり、即席では直らず時間が掛かることになります。 また進入の経路も多岐(メール、Webアクセス、ファイル転送)に渡り、その対策についての労力も馬鹿にならないものになります。

初期のウィルス・ソフトは悪戯が主目的で、悪意があってもウィルス・ソフト製作者の技量を見せつけるタイプのソフトが多くありましたが、2000年以降のウィルス・ソフトは企業内で問題となる事象(サイト攻撃やスパムメールの踏み台)が増えて来ました。また、サーバやPCに影響を及ぼし、業務に支障がでるようなウィルスも多くありました。昨今のウィルス:特にランサムウェアと呼ばれるものは、ファイルを暗号化することやPCを起動させなくすることで身代金を要求するウィルスであり、1回に要求される金額が小額(平均300米ドル)であっても、デジタルの環境(ビット・コインによる金銭授受)が整っていることもあり、不特定多数に対して金銭要求することでビジネス(ウィルス開発者が儲ける)になっている事が大きな違いであり、1件あたりの被害額は少なくても多数の被害の積み上げで被害額が拡大している事や特定が難しいのが特徴です。 

また、暗号化されたファイルやシステムが立ち上がらないような状態から、自力で元通りに復旧させるには時間も能力も必要です、その費用や労力の割には、要求される金額が小額であることから、一番の解決策が身代金を払う事と言われています。

セキュリティ対策としてアンチ・ウィルスソフトを導入するのは、個人でも、企業でも一般的だと思います。 ただ、アンチ・ウィルス対策は、最後の砦、突破されたらおしまいです。

それ以前の対策として、バックアップ有用性を考えてみてください。 以外と端末のバックアップは個人に任せていることが多くないでしょうか? やはり、怪我や病気、車の事故に対応した保険と同じく、データの保険は、やはり転ばぬ先の杖であるバックアップ(データ・コピー)が対策として有効な手段だと考えます。

ランサムに関しては個人の端末(スマフォ、タブレット)に波及するケースが多く、被害の範囲は狭いものの個人には打撃の大きいものとなります。 攻撃されても補える力(データの2次コピー)を持っていれば、余計なお金(身代金)を払わずに済み、被害の拡散防止にも役立ちます。

データのバックアップは、利益を生み出すことが無いですが、皆さんの心に安心を与えてくれます。 無くなって困らないデータであればコピーは必要ないですが、大事な個人のデータや企業のデータの消失対策としてのバックアップと、アンチ・ウィルスソフトとの2段階で防御/対策するのが望ましいでしょう。

バックアップもサーバ向けのバックアップ・ソフトだけではなく、PCや個人端末に対応したバックアップ・ソフトもあります。

是非、弊社のランサムウェア対策をご覧ください。

ランサムウェア対策: http://www.networld.co.jp/solution/ransomware/

Edit by :バックアップ製品担当 松村・安田