アクセスランキング

フォトアルバム
お問い合わせ先
ネットワールド ブログ運営事務局
blog.doc-info@networld.co.jp

Security Feed

2019/02/01

IBM Cloud Private 3.1.1 AD連携機能を試してみる

みなさん、こんにちは。

今回はユーザー連携部分のお話です。
当然、この手の製品の管理コンソールですとユーザーの作成はローカルとLDAPと連携する方法があり、ICPも同様です。

LDAP連携機能では、多くの皆さんが使われているであろう Microsoft Active Directory との連携も対応していますので、ちょっとセットアップしてみたいと思います。



環境

ICP環境は前回、前々回などと同じ環境です。
- ICP Master server 1台
- ICP Worker server 1台

今回はActive Directoryと連携するので、下記のActive Directoryを用意しています。


AD 環境

20190131_14h28_03_2


Active Directory ユーザーとコンピューター の画面はこのようになっています。

20190129_17h32_37



今回のゴール

下記のことができるように確認します。

  1. OU=icp のユーザーが ICPのユーザーとして登録できること
  2. ADのセキュリティグループ icpgroup に所属しているユーザーでログインができること
  3. 登録したユーザーには特定のリソースしか表示、利用できないこと


ADを登録

ICPでのLDAPの登録は管理コンソールからできます。

管理コンソールにログインして、

20190129_17h36_35


メニューの[管理]-[IDおよびアクセス]に移動します。

20190129_17h36_45


接続の作成をクリックします。

20190129_17h37_07a


下記の内容を参考に設定します。
LDAP認証の部分は Distinguished Name(DN) で書く必要があります。

20190131_14h28_15


20190129_18h00_45s


DNがわからないという方は、下記のようにコマンドプロンプトから確認したユーザーを入れてみてください。

20190129_18h24_06


入力後、接続の確認をして、保存します。


チームの登録

次にチームを登録します。
チームに対して、AD上のユーザーやセキュリティグループを割り当てたり、利用可能なリソースの割り当てを行います。

メニューの[管理]-[IDおよびアクセス]-[チーム]に移動します。
チームの作成をクリックします。

20190129_18h25_20


ポップアップウインドウで下記を参考に入力します。

20190131_14h28_25


20190130_10h49_32


作成をクリックします。
チームが登録されることが確認できます。


チームに登録されているセキュリティグループの確認

さきほどのチーム登録時に指定したセキュリティグループicpgroupが登録されていることと、グループに登録されているユーザーもICP上で確認可能か見てみます。

管理コンソールで作成したチーム名をクリックします。
今回であれば、icp-teamです。

20190129_18h49_14


チームに登録されているグループの一覧が表示されます。
まだ1グループしか登録していないので、icpgroupのみが登録されています。
icpgroupをクリックします。

20190129_18h50_51


icpgroupに所属しているユーザーの一覧が表示されます。

20190130_10h52_36



セキュリティグループに登録されているユーザーのログイン確認

セキュリティグループに登録されているユーザーもICP上で確認できましたので、そのユーザーでICP管理コンソールにログインできるか試してみます。

今開いている管理コンソールをログオフするか、別の種類のWebブラウザまたはシークレットモードで起動したWebブラウザを起動します。
※あとの工程上、ログオフせずに別のWebブラウザまたはシークレットモードのWebブラウザのほうが都合がよいです。

ログイン画面で先ほど確認したセキュリティグループに登録されているユーザーでログインします。
今回は user2 を利用します。

20190130_10h53_32


ログインでエラーがでることもなく、管理画面のようこそ画面が表示されることが確認できます。

20190130_10h57_13



チームにADユーザーを個別に登録

次に、作成済みのチームicp-teamにADユーザーを個別に登録してみます。

ICP管理コンソールを開き、adminでログインします。
メニューの[管理]-[IDおよびアクセス]-[チーム]に移動します。
その後、icp-teamに移動し、ユーザータブを表示します。
ユーザーの追加をクリックします。

20190130_10h57_45


下記を参考にユーザーを検索します。

20190131_14h30_18


検索結果が表示されていますので、今回はuser3を選択します。
このユーザーはセキュリティグループicp-teamには登録されていないユーザーです。
役割のカラムで役割をドロップダウンリストから選択できます。今回は管理者のまま、追加をクリックします。

20190130_10h58_27


ユーザーの一覧画面が表示され、ユーザー登録が完了していることが確認できます。


登録したユーザーでログインしてみる

登録したユーザーでICP管理コンソールにログインできるか確認してみます。

今開いている管理コンソールをログオフするか、別の種類のWebブラウザまたはシークレットモードで起動したWebブラウザを起動します。
※あとの工程上、ログオフせずに別のWebブラウザまたはシークレットモードのWebブラウザのほうが都合がよいです。

先ほど登録したuser3でログインします。

20190130_11h38_54


ログインでエラーがでることもなく、管理画面のようこそ画面が表示されることが確認できます。

20190130_11h39_08



リソースを見てみる

せっかくなので、user3で操作できるリソースを見てみます。

20190130_15h20_23


名前空間(name space)が割り当てられていないので操作ができません。
チームに対してリソースの割り当てを行います。


管理者アカウントでICP管理コンソールにログインし、メニューの[管理]-[IDおよびアクセス]-[チーム]に移動します。
その後、icp-teamに移動し、リソースタブを表示します。
リソースの管理をクリックします。

20190131_11h48_10


リソースの管理画面が表示されます。 今回は defaultibm-chartsにチェックを付け、保存します。

20190131_11h49_33

20190131_11h58_36


再度、user3でICP管理コンソールにログインします。
メニューの[ワークロード]-[デプロイメント]を開きます。

20190131_13h46_04


先ほどとは違い、エラーは表示されません。
実際にリソースが利用できるか確認してみます。
管理コンソール右上のカタログをクリックします。

20190131_13h46_04_2


検索画面に liberty と入力し、表示された結果から ibm-open-liberty を選択します。

20190131_13h46_36


構成をクリックし、下記のパラメーターを入力します。

20190131_14h28_58


記載のない設定は変更せず、インストール をクリックします。

20190131_13h55_14


Helmリリースの表示を開き、少し時間をあけてステータスを確認します。
デプロイメントのステータスの使用可能1になっており、ポッドのステータスもRunningになっていることが確認できました。

20190131_13h56_56


20190131_13h57_10


先ほどのHelmカタログからデプロイする際のターゲット名前空間のドロップリストはDefaultだけになっていましたので、user3ではdefault以外の名前空間のリソースに対しての権限を持っていないことも確認できました。




以上がAD連携の連携後の簡単な動作確認の方法でした。

NameSpace(名前空間)ごとに割り当てチームを決めることで、別のチームのNameSpaceへの影響も抑えられますし、そもそもユーザー管理をICP上でコツコツやるのは大変!という要望にもこたえられるかと思いますのでぜひ試してみてください。

現状の挙動として、ちゃんとAD上に存在していて、ICP上のチームに登録されているセキュリティグループにも所属しているADユーザーでもログインできない場合は、一度ICP上のADの登録画面で対象のADを編集で開き、再度保存してみてください。



今回も長々とありがとうございました。

すずきけ

2019/01/10

IBM Cloud Private 3.1.1 Vulnerability Advisorを追加してイメージの脆弱性をスキャンしてみよう

こんにちは。IBM Cloud Privateについて、かなり間が空きましたが、前々回にインストールの内容を投稿しました。

今回は脆弱性アドバイザー(Vulnerability Advisor)を追加してみたいと思います。

脆弱性アドバイザーって何?

ドキュメント上では下記のように説明されています。

脆弱性アドバイザーは、IBM® やサード・パーティーによって提供されるか、組織のレジストリー名前空間に追加された、コンテナー・イメージのセキュリティー状況を検査します。 Container Scanner が各クラスターにインストールされている場合、脆弱性アドバイザーは、実行中のコンテナーの状況も検査します。 https://console.bluemix.net/docs/services/va/va_index.html#about

ICPで管理しているイメージや稼働しているコンテナー上で脆弱性をもつパッケージがないかと設定について問題がないかをレポートしてくれます。
また、この機能の開発は日本のラボで開発されているとのことです。

既存のICPの環境にVulnerability Advisor(VA)を追加して、イメージのスキャンとコンテナーのスキャンまでできることを確認してみたいと思います。

※注意※ 既存環境が存在しており、その環境にWorkerノードを追加構築していく想定の手順となっていますので、環境がまだないという方はインストール方法を参考に作ってみていただければと思います。 また、商用版のIBM Cloud Privateを想定した手順となっておりますので、CE版での実施は想定しておりません。(VAはCE版では利用できません。) あらかじめご了承ください。

また、今回の環境はICP 3.1.1の環境をベースに作成しています。
前回投稿したICPのインストール手順では3.1.0を利用していますが、今回手順については3.1.0でも変わりませんので、各コマンド部分の3.1.1部分を3.1.0に読み替えて実施してみてください。

 

脆弱性アドバイザー(VA)のインストール

既存環境

サーバースペックは同じもので2台のサーバーがあります。

OS RedHat Endterprise Linux 7.4
物理/仮想 仮想
CPU(Core) 8
Memory 24GB
Disk 300GB
NIC 1つ

Master ServerとWorker Serverが1台ずつあります。 ICPのバージョンは3.1.1になります。

以前、投稿した手順は3.1.0になります。3.1.1でも同様の手順でインストールできます。
また、この手順は3.1.0でも同様の作業内容になりますので、記載されているバイナリ名や、設定名等、 3.1.1 となっている部分は 3.1.0 と読み替えて手順を実施してください。

 

事前準備

WorkerやVAにするノードを準備します。
今回は以既存環境と同じスペックのRHELの仮想マシンと同じものを用意します。

Linux on PowerやLinux on IBM Z でも動作は可能(VAは制限あり)ですので、動作環境の詳細は下記をご参照ください。
https://www.ibm.com/support/knowledgecenter/en/SSBS6K_3.1.1/supported_system_config/supported_os.html

 

追加するノード

追加するノードは下記になります。

Host name IP 作業ユーザー
icp-poc-va1.icp.local xxx.xxx.xxx.158 root

 

追加ノードで行う作業

追加するノードでは下記の事を行います。

  1. 通信ポートの確認
  2. SE Linux の無効化、Firewallの無効化
  3. /etc/hostsを設定
  4. 時刻の同期
  5. Python のインストール(の確認)
  6. Dockerのインストール
  7. (後から作業) sshサービスの再起動
 

通信ポートの確認

下記コマンドを実行してなにも表示されないことを確認します。

ss -tnlp | awk '{print $4}' | egrep -w "8001|8500|3306"

 

SE Linux の無効化、Firewallの無効化

SE LinuxとFirewallを無効化します。
SE Linuxは /etc/selinux/config をdisableに変更します。
Firewallは下記のコマンドを実行します。

systemctl stop firewalld
systemctl disable firewalld
 

/etc/hostsを設定

クラスターに存在するすべてのノード(Master/Worker/VA/Management/Proxy)を /etc/hosts に指定します。

127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4
xxx.xxx.xxx.161 icp-poc-master1.icp.local
xxx.xxx.xxx.164 icp-poc-worker1.icp.local

127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4
xxx.xxx.xxx.161 icp-poc-master1.icp.local
xxx.xxx.xxx.164 icp-poc-worker1.icp.local
xxx.xxx.xxx.158 icp-poc-va1.icp.local
 

時刻の同期

追加するノードと既存のサーバー群と時刻の差が出ないように時刻同期を行います。
時刻同期方法は各Linuxのドキュメントをご確認ください。

RHELで時刻、時刻同期の設定の確認は下記コマンドでできます。

# timedatectl
Local time: Tue 2019-01-08 11:01:18 JST
Universal time: Tue 2019-01-08 02:01:18 UTC
RTC time: Tue 2019-01-08 02:01:17
Time zone: Asia/Tokyo (JST, +0900)
NTP enabled: n/a
NTP synchronized: no
RTC in local TZ: no
DST active: n/a
 

Python のインストール(の確認)

Pythonがインストールされていることを確認します。
サポートされているPythonのバージョンは、2.6,2.7,3.5以上になります。

# python --version
Python 2.7.5
 

Dockerのインストール

Dockerをインストールします。DockerのバイナリーはIBM社から提供されています。

  • IBM Cloud Private 3.1.1 Docker for Linux (x86_64) (CNXD2EN )
    size: 141MB

このファイルをノード上にコピーし実行します。

cd /(ファイルをコピーした場所)
./icp-docker-18.03.1_x86_64.bin --install

※このとき、内部で別のコンポーネントをyumでインストールします。

dockerが自動起動されるように設定します。

systemctl start docker
systemctl enable docker
 

(後から作業) sshサービスの再起動

既存のMaster ServerからSSH Keyをコピーした後にSSH Serviceの再起動を行います。
後述の手順内で再度ご案内します。


Master Serverで行う作業

実際のインストール作業については既存のMaster Serverから行います。

  • SSH Keyのコピー
  • (後から作業) sshサービスの再起動
  • バイナリーファイルの確認
  • ノードへのVAインストールの実施
  • ノードの状態の確認
  • Master Serverへの機能のAddon

SSH Keyのコピー

Master Server上からノードにSSH Keyをコピーします。

ssh-copy-id -i ~/.ssh/id_rsa.pub <user>@<node_ip_address>

今回は、下記の情報を使ってコマンドを実行します。

user node_ip_address
root xxx.xxx.xxx.158
ssh-copy-id -i ~/.ssh/id_rsa.pub root@xxx.xxx.xxx.158
 

!!!ノードで作業!!! sshサービスの再起動

ノード上でSSH Serviceを再起動します。

systemctl restart sshd

 

バイナリーファイルの確認

下記にLinux用のバイナリーファイルがあることを確認します。
インストールパスを変更している場合は適宜読み替えてください。

Path File name
/opt/ibm-cloud-private-3.1.1/cluster/images ibm-cloud-private-x86_64-3.1.1.tar.gz

コマンド

# ls /opt/ibm-cloud-private-3.1.1/cluster/images ibm-cloud-private-x86_64-3.1.1.tar.gz
 
VAの追加

VAの追加は下記のコマンドを参考に実行します。

docker run --rm -t -e LICENSE=accept --net=host -v \
$(pwd):/installer/cluster ibmcom/icp-inception-$(uname -m | sed 's/x86_64/amd64/g'):3.1.1-ee va -l \
ip_address_vanode1,ip_address_vanode2

IPアドレス xxx.xxx.xxx.158 をVAとして追加しますので、実行するコマンドは下記になります。

cd /opt/ibm-cloud-private-3.1.1/cluster
docker run --rm -t -e LICENSE=accept --net=host -v \
$(pwd):/installer/cluster ibmcom/icp-inception-$(uname -m | sed 's/x86_64/amd64/g'):3.1.1-ee va -l \
xxx.xxx.xxx.158
 

ノードの状態の確認

追加したノードがVAとして登録されているか確認します。
ICP管理コンソールから[プラットホーム]-[ノード]を開きます。
IPアドレスの末尾 158 の役割に VA と記載されていることを確認します。

20190109_15h16_01a_2

Master Serverへの機能のAddon

最後にMaster ServerとVAノードに機能をデプロイ(アドオン)します。

Master Server上のConfig.yamlを編集します。

vi /opt/ibm-cloud-private-3.1.1/cluster/config.yaml

変更前

## You can disable following services if they are not needed:
# custom-metrics-adapter
# image-security-enforcement
# istio
# metering
# monitoring
# service-catalog
# storage-minio
# storage-glusterfs
# vulnerability-advisor
management_services:
istio: disabled
vulnerability-advisor: disabled
storage-glusterfs: disabled
storage-minio: disabled

変更後

## You can disable following services if they are not needed:
# custom-metrics-adapter
# image-security-enforcement
# istio
# metering
# monitoring
# service-catalog
# storage-minio
# storage-glusterfs
# vulnerability-advisor
management_services:
istio: disabled
vulnerability-advisor: enabled     #←disabledからenabledに変更
storage-glusterfs: disabled
storage-minio: disabled
 

下記の内容を参考にコマンドを実行します。

docker run --rm -t -e LICENSE=accept --net=host -v $(pwd):/installer/cluster ibmcom/icp-inception-ARCH:3.1.1-ee addon

Dockerイメージ名が異なりますので、下記のように変更して実行します。

cd /opt/ibm-cloud-private-3.1.1/cluster
docker run --rm -t -e LICENSE=accept --net=host -v $(pwd):/installer/cluster ibmcom/icp-inception-amd64:3.1.1-ee addon

 

VA動作の確認

VAの機能追加完了後は、管理コンソール上でスキャンの状況やレポートが確認できるようになります。

 

管理コンソールのログアウト/ログイン

管理コンソールにログインした状態で機能の追加を行った場合は画面が正常に表示されない場合がありますので、管理コンソールからログアウトし、再度ログインします。

20190110_11h26_17_2

コンテナーイメージのスキャン状況の確認

VAの機能が有効化されると自動的にコンテナーイメージのスキャンが実行されます。
すべてのイメージをスキャンするには時間がかかりますが、スキャン済みのものからステータスの確認ができますので開いています。

  1. 管理コンソールを開きます。

  2. メニューから[コンテナー・イメージ]を選択します。

    20190110_11h28_01_2

  3. 一覧が表示されます。セキュリティー・スキャンのステータスに 成功 or 失敗しました のステータスがあるものはスキャンが完了しています。 

    20190109_15h33_34_2

  4. 失敗している ibmcom/curl-amd64 をクリックします。

    20190109_15h36_19a

  5. スキャンの結果、問題がいくつあるか表示されています。
    スキャンの表示 をクリックします。

    20190109_15h36_24a_2

  6. スキャン結果のレポートが表示されます。
    Organizational Policiesでは違反理由が表示されています。
    今回はイメージ内にインストールされたパッケージ上に既知の脆弱性が含まれていることが示されています。

    20190109_15h36_32_2

  7. [vulnerable Packages]のタブをクリックします。
    ここでは脆弱性の影響を受けるパッケージの情報が表示されます。

    20190109_15h36_38_2

  8. [Container Settings]のタブをクリックします。
    ここではコンテナーの設定に対して潜在的な脆弱性の問題や推奨されてる設定について表示されます。

    20190109_15h36_48_2


    今回は見つかっていませんが、Security MisconfigurationsやRisk Analysisの情報も確認できます。

  9. 次に稼働しているContainerのスキャンレポートを確認します。
    管理コンソールから[ツール]-[脆弱性アドバイザー]を選択します。
    ※ツールメニューが表示されない場合は管理コンソールのログアウト/ログインを行ってください。

    20190110_11h37_50_2

  10. [kube-system]を選択します。

    20190110_11h40_05a_2

  11. 別のタブが開き、[Vulnerability Advisor(List Containers)]が表示されます。
    Filterに[mariadb]と入力し、Organizational Policiesのステータスが Violation となっているリストをクリックします。

    20190110_09h36_09a_2

  12. Imageスキャンの結果と同じように Organizational Policies / Vulnerable Packages / Container Settings / Security Misconfigurations / Risk Analysis の情報が表示されます。

    20190110_09h39_05

以上がVAの展開からスキャンの結果の表示までの手順になります。
このほかにも **Mutation Advisor というContainer上で変更があった場合に検知する機能もあります。
今後、検証する予定ですので、別途レポートを投稿したいと思っています。

Docker Containerの利用が広がるにつれて、すでに公開されているDocker Imageを使ったり、公式で公開されているDocker Imageから作成したDocker Imageを利用する機会が増えてくると思いますが、Docker Image自体にセキュリティ上の問題がないか、設定上にも不備がないかもチェックしていかなければならないかと思います。
脆弱性のあるパッケージの確認についてはいろいろと製品が出てきてはいますが、Vulnerability AdvisorはICPに付属している製品ですので、ぜひ試してみてください。

参考URL:

https://www.ibm.com/support/knowledgecenter/en/SSBS6K_3.1.1/manage_applications/disable_service.html

https://www.ibm.com/support/knowledgecenter/en/SSBS6K_3.1.1/installing/add_node.html

最後に

IBM Cloud PrivateのPoC環境の貸し出しも実施しています。

https://www.networld.co.jp/product/ibm-hardware/trial/

Web上にVA機能についてのPoCについて記載はありませんが、PoC環境でVAも使って検証してみたい!といったご要望がありましたら問い合わせ窓口からご相談ください。

すずきけ

2018/02/28

Prism Proを使って、SpectreとMeltdownのパッチの影響を理解する

本記事の原文はNutanixコミュニティのブログNutanix Connect Blogの記事の翻訳ヴァージョンです。原文の著者はNutanix社のSr. Technical Marketing EngineerのBrian Suhr氏です。原文を参照したい方はUsing Prism Pro to Understand the Effects of Spectre and Meltdown Patchesをご確認ください。情報は原文の投稿時のままの情報ですので、現時点では投稿時の情報と製品とで差異が出ている場合があります。

当社のNutanix社製品についてはこちら。本ブログのNutanix関連記事のまとめページはこちら

ネットワールドのNutanix関連情報はぜひ以下のポータルから取得ください(初回はID、パスワードの取得が必要です)。

Fig371

火星でのバケーションから戻ってきた、というようなことでもない限り、最近もっともモダンなCPUアーキテクチャ上で発見されたセキュリティの脆弱性に関する様々な雑音や混乱から逃れるということはできないでしょう。これらの脆弱性ーSpectreとMeltdownーは3つにカテゴライズされており、ソフトウェアのパッチが必要であり、終息についてはマイクロコードのアップデートが必要です。これについてもっと詳しく知りたいということであれば meltdownattack.com は研究の最初の一歩としてはうってつけです。 

このパッチは何故今までの元は異なるのか?

この理由はSpectreとMeltdownの脆弱性がいずれもCPUのアーキテクチャに関連したものだからであり、これを終息させようとすることはOSやアプリケーションが近年のCPUの投機的な実行機能を利用する方法を調整するということまでもが含まれてくるからです。ゲストOSのベンダーはそのお客様に対してこれらのパッチを当てることによるパフォーマンスへの負の影響について声高にのべており、不安定になってしまうことを理由に最初のパッチを取り下げたベンダーも見られます。

SpectreとMeltdownによるパフォーマンスの劣化の最終結果を完全に理解することになるにはまだ時間が足りませんが、私は皆様に対して、完全にそれを検証し終えること無くパッチの適応を急いではならないと警鐘を鳴らしたいと思います。パッチを当てる対象はハイパーバイザー、ゲストOS、そしてマイクロコードレイヤが含まれ、アップデートを充てる際には、まず、最低でも評価の手順のフェーズを終えて、それぞれのパッチの影響を理解して行うべきです。このフェーズ化されたアプローチはそれぞれのパッチ、そしてその組み合わせが安定性を備えるまでの時間という意味でも、より大きな環境へとそれを適応していく前に行うことは理にかなっています。

Prism Proがどのように役立つのか?

このブログ記事の本筋に立ち戻りましょう。我々はPrism Proを利用することで、今日の皆様の環境とパッチを当てたあとの状態の環境とのCPUの利用率の上昇差分について理解していく手順をシンプルにしていくことができると考えています。

もしも、どの時間をみて、(そして)どのような変化が起こりそうか、ということがわかっているのであれば、通常のパフォーマンスチャートでそのイベントの影響を見ることができます。以下の例にあるように、一番上のチャートは選択した仮想マシンの3時間の間隔でのCPUの利用率の様子を顕しています。矢印のマークの部分ではこの仮想マシンのCPUの利用率が驚くほど上昇していることがわかります。利用率が上昇したという事実については理解が難しいものではありません、しかし、チャートはこの変化が通常こうしたものであるのか、それともこの環境における変化がこの程度なのか、ということを顕しているわけではありません。

Fig372

AOS 5.5のリリースとともに、NutanixはX-FitテクノロジーをPrism Proへ追加しました。つまり、管理機構は今は仮想マシンやホストの通常どのように振る舞っているかを学習できるようになっています。振る舞いを学習したシステムが監視している特定の計測値が通常の振る舞いの領域幅をはみ出したと判断した場合、これは不具合として記録され、警告が発報されます。

次の例も上でお見せした同じ仮想マシンにおけるシナリオですが、今回は新しい、インテリジェンスを備えたチャートを利用しています。以下のチャートでは濃いブルーのラインが実際のCPUの利用率を顕しており、青い影の幅はこの仮想マシンの通常時のCPU利用を学習した上で生成されたベースラインを顕しています。チャートの一部にズームイン(赤い円の中へ)してみると、同様にCPUの消費率がスパイクしていることが表されています。しかしながら、この新しい情報の中では、この値が学習されたベースラインを上回って上昇しているということがわかります。不具合が明らかで、この仮想マシンにとって通常の状態でないということですから、アラートが発行されます。

Fig373

振る舞い学習のアルゴリズムはNutanixのX-Fitに組み込まれており、定期的に今回取り上げた仮想マシンを確認して、CPUの増加が継続していることを示しています。しばらくすれば、Prismは変更されたCPUの利用率がこの仮想マシンにとって通常の振る舞いであるということを学習し、ベースラインをそれに合わせて以下の例にあるように適切に調整し始めます。利用量が増えていますので、変更後のベースラインは最初はもっと大きな幅になります。この幅はPrismが仮想マシンの監視を継続指定国津入れて自動的に調整されていきます。

Fig374

これまでのところ、我々があげてきた例では単一の仮想マシンの振る舞いに注目してきました。単一の仮想マシンのチャートを見るということは非常に有用ですが、多くの組織ではSpectreとMeltdownの脆弱性に対処するために百から数千の仮想マシンにパッチを当てる必要があります。こうした修正を展開してその影響について監視していくという範囲の大きさを考えれば、注目すべき点は自然により高いレベルになっていくことでしょう。こうした場合のシナリオではホストレベルで環境を見ていくほうが時間を短縮することができる一方で、それぞれの変更の結果を追跡するということもまだ、できるレベルでしょう。

パッチの影響についてホストレベルで見ていくことができるということを示すために、環境においてCPUの利用上昇をシミュレーションする仮想マシンのグループを利用しました。以下の例ではホストレベルのCPUの利用チャートと学習されたベースライン、そして最後に利用率のスパイクが表示されています。このスパイクはホストレベルでの不具合アクティビティとして記録されており、その実態は我々がこれまで上で見てきた仮想マシンです。

Fig375

それぞれのこうした不具合のイベントはPrism内にアラートを作成します。もしもEmailによる通知が設定されていれば、emailアラートとして送信されます。この警告システム自体は非常に有用なものですが、Prismはそれに加えてその不具合の所在についてその不具合にどのような要素が関連しているかを付属させることで簡単に理解しやすくしてくれています。

Prismダッシュボードの影響を受けたクラスタのウィジットはクラスタの健全性についての高いレベルでの詳細を提示します。以下のスクリーンショットを見ていただければ分かる通り、直近24時間無いでの不具合の数を1つのデータポイントが顕しています。

Fig376

ウィジット内の不具合数をクリックすると、以下の例のようにその期間における不具合のそれぞれとどの計測値が不具合に該当したのかということも一つのリストにして見ることができます。それぞれの不具合をクリックすれば上で仮想マシンやホストの例で見てきたようなチャートへとアクセスすることができます。

Fig377

キャパシティ変更についての計画

組織はゲストOSにパッチを当てることで他のクラスタに対して影響を与える可能性のある決して小さくはないCPU利用率の上昇を理解し、その計画を建てなくてはなりません。Prism Proのキャパシティプランニングの機能によって、クラスタにこうした追加の要求を加えることで、シナリオをモデル化することができます。

この例では我々はテクストクラスタのシナリオを作成しました。以下のチャートは現在の環境においての見通しの詳細といかにリストされている既存のホストリソースを顕しています。

Fig378

浪費されているリソースを回収する

モデル化されたノードの追加が要求に答えるためには必要よりも大きなものであったり、そうでなくても置かれている状況下において理想的な解決策であるとはいえない場合、浪費されているリソースを回収することを考えることもできます。Prism Proは最適化もしくは回収できるリソースを特定する時にわかりやすいデータを提示します。次のスクリーンショットは全体、もしくはクラスタごとのレベルでリソースの最適化について示しているウィジットです。

この例ではoverprovisionedとinactiveに分類された仮想マシンに注目します。というのも、これらいずれのカテゴリーも組織が合理的に回収し易いリソースを含んでおり、簡単に要求の増加に応えることができます。

  • over-provisioned分類は先に述べた学習した仮想マシンの振る舞いの機能を利用しており、常日頃、割り当てられたリソースのうち本の限られた量しか利用していない仮想マシンです。
  • inactive分類は最低30日間電源が入っていない状態が続いた仮想マシンが特定されています。このカテゴリも学習した仮想マシンの振る舞いを利用しており、電源が入っていたとしてもCPUとディスクの活動が最低量のみを使い続けているというものも含まれています。

Fig379

それぞれの分類のいずれかをクリックすると、Prism上の探索ビューでそのカテゴリに分類された仮想マシンが一つのリストとして表示されます。以下の救いリーンショットはoverprovisionedの仮想マシンを表示しています。この表示から、どの仮想マシンがまさにoverprovisioned(割当過剰)になっているのか、それがどれぐらい多すぎるのかということを簡単に見ることができ、アプリケーションチームとの議論の末にこうしたリソースを回収する計画をたてることができます。リソースの割当の変更を適応する準備が整ったら、単純に仮想マシンを選択して、必要なレベルにリソースを調整するだけです。

Fig380

環境のインベントリを取得する

これまでに関しとキャパシティプラングについて見てきました、最後に取り上げなくてはならないのは環境のインベントリを取得する方法です。ご自身の環境内にどのようなものがあるのかということを理解し、どうしたコードをそれぞれが走らせているか理解することはアップデートのフェーズの準備、そして効果を確認していくためには重要です。

PrismのLife Cycle Manager(LCM)を利用して、クラスタで動作しているそれぞれのノードのBIOSのヴァージョンのレポートを得ることができます。この詳細情報はどのノードがアップデートを必要としているのかということと、どのノードがアップデートを終えているのかということを理解するためにも重要です。

Fig381

続くスクリーンショットでは、Prism Centralの探索機能を利用して、環境内のホストのリストをハイパーバイザーとそれぞれのヴァージョンを表示しています。Prismはクラウド時代のために作成されているため、マルチハイパーバイザーの管理をネイティブにサポートしていますし、それら全てを単一の画面から表示することができるようになっています。

Fig382

Prismのレポーティングはどうでしょう?

AOS 5.5のリリースと同時に、Prism Proはアドホックベース、もしくはスケジュールでの両方でレポートの生成を行える機能を搭載しました。Prism Proにはいくつかの標準レポートが既に含まれていますし、管理者が新しいレポートを簡単に作成することも可能です。既存のレポートをクローンして作ることもできますし、ビジュアルレポートデザイナーを利用してレポートのコンポーネントを利用可能なウィジットのリストの中から選択するということも可能です。

以下の1つ目のレポートはセキュリティパッチのウォッチリストです。このレポートはクラスタのCPUのキャパシティの見通しのチャートを利用して、それぞれの変更がどれだけ残されたキャパシティへ影響をあたえるのかということを表示しています。その次はラインチャートを利用して、それぞれのホストごとのCPUの特定の期間での消費状況を表示しており、レポートの対象機関内で増加したものについてはハイライトしています。このレポートは環境内のすべての仮想マシンの個々のCPU利用率も含まれており、仮想マシン単位での影響についても確認が可能です。


こちらがサンプルです security patch watch list report

更に環境内のすべてのノードのハイパーバイザーとそのノードで稼働しているバージョンをリストでご提供する2つ目のサンプルレポートも作成いたしました。我々はこうした詳細をPrismのインベントリのサンプルで既に目にしていますが、これをレポートにすることでemail経由で自動的にスケジュール通りにより大きなチームへとPDFフォーマットで共有することができます。複数のレポートを単一の大きなレポートに統合するということも必要があれば可能です。

こちらがサンプルです environment summary report

Prism ProがSpetreとMeltdownの脆弱性の影響を確認するのにどれだけ有用かということを議論できることを大変嬉しく思います。もしももっと議論をしたい、もしくはもっと詳しく知りたいということであればコメントを残していただくか、担当営業チームへとご連絡下さい。(※訳注 : NetworldのNutanixチームのTwitterアカウントへ話しかけていただいても構いません!)

Disclaimer: This blog may contain links to external websites that are not part of Nutanix.com. Nutanix does not control these sites and disclaims all responsibility for the content or accuracy of any external site. Our decision to link to an external site should not be considered an endorsement of any content on such site. 

(c)2018 Nutanix, Inc. All rights reserved. Nutanix, Prism, and the Nutanix logo are registered trademarks or trademarks of Nutanix, Inc. in the United States and other countries. All other brand names mentioned herein are for identification purposes only and may be the trademarks of their respective holder(s).

記事担当者: マーケティング本部 三好哲生 (@Networld_NTNX

Ntc2018

とても長い記事ですが、非常に面白いPrism Proの使い方ですし、何よりも今もっとも重要な脆弱性についての対策の記事ですので予定を変更してお届けいたしました。パッチを当てた範囲が想定内なのかどうか、ということもそうですし、どのぐらい影響があるのか・・・これはスナップショットやクローンを使って仮想マシン毎に見てみるというようなことも重要かもしれません。(ただし、アプリケーションによってCPUの投棄実行が行われるというケースもあるので、パッチを当てた後に実際にアプリケーションを動かしてみるということも必要でしょう。)

前回のヨーダの話に続き、Prism Proですが、本当に素晴らしいソフトウェアに成長してきました。是非ご検討いただけますと幸いです。

2017/12/20

Nutanix Marketplaceはどのように開発者とIT部門を一緒にするのか?

本記事はNutanix社のオフィシャルブログの翻訳版です。原文を参照したい方はHow Nutanix Marketplace Brings Developers and IT Togetherをご確認ください。情報は原文の投稿時のままの情報ですので、現時点では投稿時の情報と製品とで差異が出ている場合があります。

当社のNutanix社製品についてはこちら。本ブログのNutanix関連記事のまとめページはこちら

ネットワールドのNutanix関連情報はぜひ以下のポータルから取得ください(初回はID、パスワードの取得が必要です)。

ニースにおいて、我々は新しいエンタープライズのための先進的なパブリッククラウドのような消費モデルの開発者中心のサービスを発表しました。この記事では開発者とITをより緊密にするという我々の見通しを共有させていただきます。そこではよりよいコラボレーションが育まれ、アプリケーションの俊敏性が増すことになります。これによって組織に劇的な効果が上がることになるでしょう。

開発者とITに共通して必要とされる一般的な目的には市場への迅速な投入の加速、対応時間の短縮、インフラストラクチャの問題の解決に費やす時間の最小化などがあります。しかしながら、開発者は最新の技術の取り込みとオンデマンドなリソースの提供に目を向けがちで、IT側はアプリケーション開発者を手助けする適切なツールの必要性についてはしばし目を伏せがちです。Nutanixは既に管理、アップグレード、ITリソースの拡張のシンプル化などの優れたプラットフォームを提供することで市場への投入時間を短くするという部分については提供をしてきています。しかし開発者は本当にサービスの提供についてNutanixプラットフォームを利用していることの価値を感じているのでしょうか?例えば、コンテナの世界に置ける最先端のイノベーションを活用できているでしょうか?開発の業務に集中できるようにするために自動的にコンテナプラットフォームが展開される様になっているでしょうか?ここにNutanix Marketplaceが登場してきた意味があります。

セルフサービスのちからを与える ー ワンクリック、エニークラウド

Nutanix Marketplaceは我々の2017年Q4でのリリースを予定しています。開発者に一箇所からただのワンクリックで必要なアプリケーションリソースを瞬時に利用開始できるようにします。チームにとっては自身のための特別オーダーメイドとなる様々な展開オプションをユーザーの役割とグループに応じて手に入れることができるようになります。Nutanix Marketplaceからアプリケーションの1つを起動するということは、MarketplaceやまたはカスタムのITが事前に作成した、事前に定義された全体が自動化された手順のフローをインスタンス化するということです。これには仮想マシン、バイナリ、必要なアプリケーション構成が含まれています。これを利用することで開発者は自分自身の必要とするスピードで完全にセルフサービスの状態でサービスを利用することができます。

ITの観点からは、単により良く、迅速なサービスを提供できるということだけに留まりません。アプリケーションはマーケットプレイスからいつも実行可能ですし、再現性があり、数日もしくは数ヶ月のアプリケーションの展開や管理の提携作業を取り除くことになります。すべてのユーザーのアクティビティはエンドツーエンドで追跡可能で、トラブルシューティングや互換性のニーズを解決することにも役立ちます。

マーケットプレイスは我々のオープンなアプローチということを前提に設計されています。開発者はアプリケーションをオンプレミスに、もしくはパブリッククラウドにもしくはその両方にまたがっても展開するということを選択することができます。結果としてITはマルチクラウド戦略を実現しながら、その利用状況やクラウドをまたいだリソースのコストについても可視性を手に入れることができるのです。

Fig319

事前統合のBlueprint

開発者は常に新たな開発、検証、コード投入の新しい考え方やツールを取り込むことで開発のプロセスを改善しようと考えています。これを最終目標として、Nutanixは事前に統合され、検証の済んだblueprintを提供し、ITチームが新しいテクノロジーを自身の環境に迅速に導入できるようにします。これらの事前統合されたblueprintを用いることでIT部門は開発者とともに新しいツールを迅速に試験導入し、共同でそれを利用するかどうかの決断をすることができます。この能力は新しいツールの実権を育むということだけではなく、チーム間のコラボレーションを生み出すことにもなります。

上のスクリーンショットではJenkins、Puppet、Hadoop、そしてMySQLなどの事前統合されたblueprintを確認することができます。NutanixはGoogleとのパートナーシップの中でコンテナのオーケストレーションプラットフォームであるKubenetesのblueprintも提供します。このblueprintではNutanixのオンプレミスとパブリッククラウドの両方へKubernetesクラスタを展開することができます。以下のスクリーンショットでは35ページにも及ぶガイドが必要なほど複雑で、多くのコンポーネントと様々なスクリプトが必要になる厄介な手順がシンプルなblueprintへと翻訳され、マーケットプレイスからワンクリックで利用可能になるということを確認できます。

Fig320

まとめると、Nutanix MarketplaceはIT部門に対し、開発者のための優れたセルフサービス環境を実現するための素晴らしい方法をご提供しながら、より良い統制とマルチクラウド戦略への簡単な道筋を提供します。Nutanixでの自動化についてもっとよく知りたいですか? Nutanix CalmのページまたはCalmの技術メモをダウンロードして下さい。

Forward-Looking Statements Disclaimer

This blog includes forward-looking statements, including but not limited to statements concerning our plans and expectations relating to product features and technology that are under development or in process and capabilities of such product features and technology, our plans to introduce product features in future releases, product performance, competitive position and potential market opportunities. These forward-looking statements are not historical facts, and instead are based on our current expectations, estimates, opinions and beliefs. The accuracy of such forward-looking statements depends upon future events, and involves risks, uncertainties and other factors beyond our control that may cause these statements to be inaccurate and cause our actual results, performance or achievements to differ materially and adversely from those anticipated or implied by such statements, including, among others: failure to develop, or unexpected difficulties or delays in developing, new product features or technology on a timely or cost-effective basis; delays in or lack of customer or market acceptance of our new product features or technology; the introduction, or acceleration of adoption of, competing solutions, including public cloud infrastructure; a shift in industry or competitive dynamics or customer demand; and other risks detailed in our Form 10-K for the fiscal year ended July 31, 2017, filed with the Securities and Exchange Commission. These forward-looking statements speak only as of the date of this presentation and, except as required by law, we assume no obligation to update forward-looking statements to reflect actual results or subsequent events or circumstances.

© 2017 Nutanix, Inc. All rights reserved. Nutanix, AHV, Acropolis Compute Cloud, and the Nutanix logo are registered trademarks or trademarks of Nutanix, Inc. in the United States and other countries. All other brand names mentioned herein are for identification purposes only and may be the trademarks of their respective holder(s).

記事担当者: マーケティング本部 三好哲生 (@Networld_NTNX

Ntc2017_2

今回もニースで発表になった内容の記事となります。Nutanix Calmはマルチクラウド環境に置けるオーケストレーションを実現するのみならず、スケールアウト、アップグレードなどのアプリケーションライフサイクル全体をコントロールする意欲的なプラットフォームです。

このCalmを最も簡単に利用できるようにするのがこのNutanix Marketplaceです。ワンクリックとある通り、Nutanixの上にこのマーケットプレイスのアプリケーションを展開するのは本当に簡単で、新しい技術を少し試してみようというところから、その先に本格的に導入しようという場合、そしてその環境をパブリッククラウドへと移行させようという場合、様々なライフサイクルの局面で利用することができます。

自動化って・・・開発者のものだよねもしくはDev/Opsだよね、というちょっと大変そうな道ではなく、ワンクリックで簡単な道を用意してくれています。閉ざされた自動化が少しでも開ければと思い、私も期待しています。登場が待ちきれません。(翻訳時には登場が待ちきれませんでしたが、なんとリリースされています!)

2017/12/18

どうしてNutanix AHV(旧称 : Acropolis Hypervisor)は次世代のハイパーバイザーなのか? パート4 - セキュリティ

本記事は[2枚目]Nutanix Advent Calendar 2017への寄稿も兼ねております。是非アドベントカレンダーの他の記事もお楽しみください。1枚目のNutanix Advent Calendar 2017もどうぞ。

本記事の原文はもともとNutanix社のStaff Solution Architectで、Nutanix Platform Expert (NPX) #001 そしてVMware Certified Design Expert (VCDX) #90(2桁)として活動しているJosh Odger氏によるものです。

原文を参照したい方はWhy Nutanix Acropolis hypervisor (AHV) is the next generation hypervisor – Part 4 – Securityをご確認ください。情報は原文の投稿時のままの情報ですので、現時点では投稿時の情報と製品とで差異が出ている場合があります。

当社のNutanix社製品についてはこちら。本ブログのNutanix関連記事のまとめページはこちら

ネットワールドのNutanix関連情報はぜひ以下のポータルから取得ください(初回はID、パスワードの取得が必要です)。

セキュリティはXCPの設計において、一つ肝となる部分です。革新的な自動化を利用した結果、おそらく業界で最も堅牢でシンプルで包括的な仮想化インフラストラクチャが出来上がりました。

AHVはハードウェアベンダーのHCLを包括的にサポートするようには設計されていません、更にはボルトオンスタイルで数え切れないほどの手間のかかる製品群を積み上げたものでもありません。AHVはそうしない代わりに、Nutanixの分散ストレージファブリックとうまく動くように最適化されており、認証の下りたNutanixもしくはOEMパートナーのアプライアンス上で全てのサービスと機能を完全にウェブスケール式に提供できるようにしてあります。

これによって、他のハイパーバイザーと比べ、より緻密で目的にフォーカスした品質管理と被攻撃面を劇的に削減することができているのです。

セキュリティ開発ライフサイクル(SecDL)が全てのAcropolis プラットフォームで活用されており、全てのコードの一行一行までが本稼働環境での動作を保証されています。この設計はdefense-in-depthモデルに従っており、すべての必要のないlibvirt/QEMU(SPICE、利用しないドライバー)のサービスは削除されています。さらにlibvirtの非-rootグループでソケットは最小限の権限しか付与されないようになっており、SELinuxがゲストのvmescapeからの保護を保証し、その上侵入検知システムが組み込まれています。

Fig339

AHVは文書化されたセキュリティベースライン(XCCDF STIG)をサポートしており、自己修復機能を搭載しています。お客様の定義した間隔でハイバーバイザーはセキュリティベースラインに対するあらゆる変更をスキャンし、あらゆる不都合が検出さればた場合にユーザーを介さずにバックグラウンドでその変更をリセットします。

Acropolisプラットフォームも更に包括的なセキュリティの認証/検証のリストを保持しています:

Fig340

まとめ

Acropolisは以下のような多くのセキュリティの先進性を提供している:

  1. 組み込みの自己監査を行うセキュリティ技術実装ガイド(STIGs - Security Technical Implementation Guides)
  2. 管理者が要塞化の推奨事項を適応する必要のない、そもそもから既に要塞化されたハイパーバイザー
  3. 他のサポートされているハイパーバイザーに比べて削減された被攻撃面

Nutanixのセキュリティに関しては以下もご参照下さい:

インデックスへ戻る

記事担当者: マーケティング本部 三好哲生 (@Networld_NTNX

Ntc2017_2

第4弾はセキュリティです。ハイパーバイザーはOSの一種ですが、そのうえでさらに多くのOSを起動することを考えると最もセキュリティが必要とされるOSであるということになるのではないでしょうか。AHVは変更検知と自動修復の機能を持ったハイパーバイザーです。また、不要なドライバーなどは入っていないため、巨大なHCLを抱えるOSに比べて被攻撃面も小さくなります。

私自身はセキュリティについて詳しいわけではありませんが、セキュリティ面で見てもシンプルであるが故に、非常に堅牢なハイパーバイザーということは理解できます。

ようやく折り返しですが、次回の第5段にもご期待ください。

なぜなに Data Domain - 第十三回 - ”新”クラウド DR ソリューションについて

こんにちは。普段、Commvault のブログのパートを担当しておりますが、今回は、Data Domain とクラウドを活用するデータ保護ソリューションをご紹介します。

 

クラウドを活用したデータ保護については、以前よりも技術面や経済面で敷居が低くなり、他社のバックアップベンダーでも積極的にクラウドの活用を行っていますが、データの転送量や転送にかかる時間、ネットワークの帯域幅など考慮すべき点が多いのも事実です。

 

そんな中、Dell EMC が今年の5月にラスベガスで開催した「Dell EMC World 2017」でクラウド災害対策ソリューション Data Domain Cloud DR が発表されました。

Dell EMC データ保護製品の「Avamar/Data Domainを組み合わせることにより、有事の際にオンプレミス上の VMware 仮想マシンを、AWS の EC2 インスタンスへ自動変換しディザスタリカバリを実現します。

製品リリース前のベータプログラムの評価を行いましたので、クラウドを有効活用したDRソリューションをご紹介したいと思います。

 

データ保護ソリューションにおいて「クラウド」と聞いて、皆さんは何を思い浮かべますか?

今日現在、クラウド環境内では、セキュリティの対策に加えて、冗長化の構成が進んでおり、より安全性・信頼性の高い環境が提供されていますので、オンプレミスの2次バックアップ先、さらにオンプレミスのディザスタリカバリ先として検討されるケースが増えてきています。

 

 【クラウドの活用例】

  • 災害対策でデータを保存する場所
  • ストレージのコストを削減するための場所
  • オンプレミスのディザスタリカバリ先 (←今回ここに注目flair)

 

Data Domain とクラウドを活用する例として、Data Domain のストレージをクラウドへ階層化し、長期保管を目的した「Data Domain Cloud Tier」が既に提供されています。

これは、データ移動ポリシーに従い、Data Domain からクラウドへアクティブ階層に存在していないセグメントのみを直接送信し、データのリコールのためにクラウドから取り出すのは一意のセグメントのみですので、データ転送時のネットワーク使用量を削減することができます。

 

Cloud_tier_3


また、今年 AWS EC2 や Microsoft Azure 上での Data Domain Virtual Edition の構成もサポートされて、物理 Data Domainから 仮想 Data Domain へのレプリケーションなど、Data Domain とクラウドを組み合わせたデータ保護がさらに注目されてきそうですね。

 

続きを読む »

2017/11/08

AHVのネットワークの新機能 パート4

本記事の原文はNutanixコミュニティのブログNutanix Connect Blogの記事の翻訳ヴァージョンです。原文の著者はNutanix社のStaff Solutions ArchitectのJason Burns氏によるものです。原文を参照したい方はWhat’s New in AHV Networking Part 4をご確認ください。情報は原文の投稿時のままの情報ですので、現時点では投稿時の情報と製品とで差異が出ている場合があります。

当社のNutanix社製品についてはこちら。本ブログのNutanix関連記事のまとめページはこちら

ネットワールドのNutanix関連情報はぜひ以下のポータルから取得ください(初回はID、パスワードの取得が必要です)。

Fig297

本シリーズの以前の記事で、我々はNutanixがどのように仮想化スイッチ内にアプリケーションポリシーを実装し、アプリケーションのトラフィックに対してセキュリティを提供しているのかを見てきました。AHVマイクロセグメンテーションはレイヤ2からレイヤ4までの与えられたポリシー定義をベースにしたルールを実装しています。つまり、定義からアドレスやプロトコルやポートを自動的に展開するのです。

しかし、幾つかのタイプのトラフィックではシンプルなルールでは提供ができない、内部的な検査が必要な場合もあり、そこではネットワークファンクション仮想化(NFV)が必要となってきます。トラフィックの中にウィルススキャンの機能やパケットを深く検査する機能を取り込んだりするためには、我々はもっとネットワークの高いレイヤへと目を向けなくてはなりません ー つまり、もっと多くのリソースを必要とすることになります。Nutanix AHVのネットワーキングスタックでは、ネットワークトラフィックフローを収集したり分析したりするために仮想化されたネットワークファンクションを挿入してこうした検査を行うことができます。

このブログのシリーズは遡ること6月にNutanix .NEXT DCでアナウンスされたワンクリックネットワーク実現するのに役立つAHVの機能を取り上げます。

パート 1: AHV ネットワーク 可視化 

パート 2: AHV ネットワーク 自動化と統合

パート 3: AHV ネットワーク マイクロセグメンテーション

パート 4: AHV ネットワーク ファンクションチェイン(本記事)

AHVネットワークファンクションチェイン

現在AHVの管理者はネットワークファンクションチェインをAHVネットワーク(AHVホスト上の単一VLANが対象です)全体からトラフィックをリダイレクトすることで作成します。例えば、Exchangeネットワークの全てのトラフィックをファイヤウォールアプライアンスへとリダイレクトすることができます。将来のリリースにおいてNutanixはファンクションチェインがもっときめ細やかなレベルで運用できるようにそしてPrismベースのUIからそれが行えるように計画をしています。こうした改善の計画についての幾つかについては以下で述べていきます。

直近の記事で、アプリケーションポリシーでサンノゼの人事部がExchangeのエッジトランスポート層と通信ができるように許可しました。この例を拡張して、「East West ファイヤウォール」サービスチェインを使って、ポリシーの作成中に特定のトラフィックをネットワークファンクション仮想マシンにリダイレクトするようにしてみましょう。そうすることで「East Westファイヤウォールアプリケーションの検査が終われば、サンノゼの人事がExchangeエッジトランスポート層にアクセスできるようにする」というポリシーを定義することができるのです。

Fig294

上の画像はPrism内のファンクションチェインの管理UIのもので、次のリリース時には利用ができるようになるものです。Redirect through service chain(訳注:サービスチェイン経由でリダイレクト)にチェックを入れることでただのワンクリックでトラフィックを特別なファイヤウォールサービス仮想マシンへとリダイレクトし、さらなる処理を行うことができます。トラフィックが常にこの経路を通ることを保証するために、我々はAHVホスト内の仮想化スイッチ内部にいくつものルールを実装しました。以下のダイアグラムはトラフィックパス内のEast Westファイヤウォールを顕しています。あらゆる仮想マシンへのまたは仮想マシンからのトラフィックは最も右のブリッジ br0 から内部のスイッチへと至ります。もしくは物理ネットワークへのアップストリームとしてスイッチされます。この例ではbr.nf ブリッジ(またはネットワークファンクションブリッジ)内のルールで人事の仮想マシンのトラフィックをリダイレクト ー 右または左へと ーしてネットワークファンクション仮想マシンへと導きます。

Fig295

br0.local ブリッジは一つの仮想マシンが他の仮想マシンと直接通信することを一切許しません。特定の仮想マシンからのトラフィックは残りのブリッジチェインを流れながら処理され、ブリッジチェインから仮想マシンへのトラフィックも同様です。

ルールを作成し、特定のトラフィックをネットワークファンクションチェイン経由で流せるようになったので、今度はどのようにサービスもしくはエージェント仮想マシンを展開するのかを見ていきましょう。それぞれのネットワークファンクションはそれぞれのAHVホスト上で動作させなくてはなりません。こうすることでサービスチェインをホスト上に構成し、ファンクション仮想マシンを展開して、チェインの中に引っ掛けることができます。もしもこの手順を手動ですべてのホスト場で行わなければならないとしたら、こうした手順内では多くのエラーが起こる可能性が含まれてきます。

ですが、それぞれのステップを手動で実施する必要はありません。なぜなら、次のリリースにはNutanix Calmが含まれており、これを助けてくれるからです。Calmはパロアルト社のVM-シリーズファイヤウォールをNutanix AHVホスト上にブループリントに沿って展開するだけでなく、必要に応じてコントローラーを構成することもできます。ですから上で示したように新しいEast Westファイヤウォールサービスを使い始める際にセキュリティポリシーが正しいことだけをチェックすればよいのです。

Fig296

AHV上で動作しているあらゆる仮想マシンがネットワークファンクション仮想マシンを利用することができます。上で紹介したパロアルトネットワークスのVM-シリーズのファイヤウォールはNutanix上に展開できるNFVの例のホンの一つです。お使いになりたい製品を自由に使うことができます。私のラボではオープンソースのツールを仮想マシンとして動作させ、ファンクションチェインではAHV上の全てのホストにパケットキャプチャとIDSの機能を提供しています。

シリーズのサマリ

今回のシリーズでは同時にどれだけ可視化自動化、そしてセキュリティが近年のデータセンタネットワーク戦略の中で重要なコンポーネントになったのかを述べてきました。Nutanix AHVは接続性とフローマッピングの両方をPrismで可視化しています。自動化はベンダーに依存しないライフサイクルイベント通知とCalmによる複雑なネットワークサービスの展開と構成の両方によって提供されます。複数の段階で階層化された絶妙なネットワークセキュリティを提供しています:

  • 接続性とフローの可視化によって怪しいものがないか見つけられる
  • トップオブラック(ToR)スイッチを統合することで、ほんとうに必要な接続性だけが有効になり、必要のなくなった接続性はすぐに削除される
  • 仮想化スイッチレベルのポリシーベースのマイクロセグメンテーションで正しいフローのみがネットワーク内で許可される
  • 先進的なセキュリティサービスとの統合でこうしたトラフィックをっ更に深く検査することができる
  • Calmの自動化によって管理上の手間を緩和し、先進的なセキュリティサービスまたはNFVのシンプルな展開を可能とする

こうしたネットワークの機能を組み合わせることでワンクリックネットワークは現実のものとなるでしょう。

今回のシリーズはお楽しみいただけましたか? コメント(※訳注、日本語版のコメントはぜひ当社のTwitterへ)かNutanixのTwitterにお願い致します。もしも技術的にもっと深く知りたいのであれば、今はまだここまでです。

議論を続け、皆でオンラインフォーラムでつながっていきましょう。

© 2017 Nutanix, Inc. All rights reserved. Nutanix, AHV, and the Nutanix logo are registered trademarks or trademarks of Nutanix, Inc. in the United States and other countries. All other brand names mentioned herein are for identification purposes only and may be the trademarks of their respective holder(s).

Forward-Looking Statements Disclaimer

This blog includes forward-looking statements, including but not limited to statements concerning our plans and expectations relating to product features and technology that are under development or in process and capabilities of such product features and technology and our plans to introduce product features in future releases. These forward-looking statements are not historical facts, and instead are based on our current expectations, estimates, opinions and beliefs. The accuracy of such forward-looking statements depends upon future events, and involves risks, uncertainties and other factors beyond our control that may cause these statements to be inaccurate and cause our actual results, performance or achievements to differ materially and adversely from those anticipated or implied by such statements, including, among others: failure to develop, or unexpected difficulties or delays in developing, new product features or technology on a timely or cost-effective basis; delays in or lack of customer or market acceptance of our new product features or technology; the introduction, or acceleration of adoption of, competing solutions, including public cloud infrastructure; a shift in industry or competitive dynamics or customer demand; and other risks detailed in our Form 10-K for the fiscal year ended July 31, 2017, filed with the Securities and Exchange Commission. These forward-looking statements speak only as of the date of this presentation and, except as required by law, we assume no obligation to update forward-looking statements to reflect actual results or subsequent events or circumstances.

記事担当者: マーケティング本部 三好哲生 (@Networld_NTNX

Ntc2017_2

今回はサービスチェインについてです。現時点ではVLANを全て引っ掛けてしまうよう実装のようでちょっともったいない感じもしますが、将来的にもっと細かい設定が・・・とあるので期待しましょう。そしてこちらも予想通りCalmでNFV仮想マシンを自動展開・構成できるようです。

Calmに対応したNFVであれば展開/構成までがワンクリック・・・本当にインフラに使う時間が削減されそうです。

以前も述べたようにNutanixを使う時間が少なければ少ないほどよい・・・そんな未来がネットワークの設定の分野でも間近に迫っています!

2017/10/18

Nutanix エンタープライズクラウドの最大の導入効果(みなさんが思っているものと違うハズ・・・)

本記事はNutanix社のオフィシャルブログの翻訳版です。原文を参照したい方はThe Single Biggest Benefit Of Enterprise Cloud (And It’s Not What You Think)をご確認ください。情報は原文の投稿時のままの情報ですので、現時点では投稿時の情報と製品とで差異が出ている場合があります。

当社のNutanix社製品についてはこちら。本ブログのNutanix関連記事のまとめページはこちら

ネットワールドのNutanix関連情報はぜひ以下のポータルから取得ください(初回はID、パスワードの取得が必要です)。

全世界の組織はパブリッククラウドへの注目を高めつつあります ー インフラストラクチャのコストを削減するのではなく(分析によると殆どの組織において、多く利用されているアプリケーションのような予測可能なワークロードに対してはクラウドは効果になることがわかっています)、よりダイナミックになりつつある市場環境でのビジネスにより速く、そして効率的に対応する能力を高めるために。

最近のIDCによる調査では、Nutanixを利用することで従来型の三階層インフラストラクチャ(集中ストレージ + ストレージネットワーク + コンピューティング)に対して、インフラストラクチャおよび他の様々な節約によって劇的な削減を実現できるとしています。最も大きな成果はビジネスの生産性の向上が積み上がり2乗の効果があがっていきます。

NutanixとIDCによる調査

NutanixがIDCに依頼したホワイトペーパーのタイトルは「Nutanixはエンタープライズアプリケーションのためのコスト効率、効率性、拡張性のプラットフォームとして強力な価値を提供している (原タイトル : Nutanix Delivering Strong Value as a Cost-Effective, Efficient, Scalable Platform for Enterprise Applications)」(2017年8月)(レポートはこちらからダウンロードできます)で、エンタープライズアプリケーションをエンタープライズクラウド上に展開することの詳細を調査しています。Nutanixがこの調査にお金を支払っていますが、調査自体は独立したものであり、平均12,331人の社員、192人の情報システム部門スタッフ、平均して62のNutanixかDell XCもしくはLenovo HXのノードで861の仮想マシンを運用している11の組織に対して行われたものです。

Fig286_2

参照元: IDC White Paper, sponsored by Nutanix, Nutanix Delivering Strong Value as a Cost-Effective, Efficient, Scalable Platform for Enterprise Applications, August 2017(ネットワールドによる補足入り)

上のチャートから読み取れるように、Nutanixソリューションは素晴らしいインフラストラクチャにおけるコスト削減以外にも、スタッフとユーザーの生産性の向上で優れた削減効果を発揮しています。

ビジネスの生産性による削減は俊敏さ、拡張性、そしてパフォーマンスと関連し、全ての効果の中で57%もの位置を占めています。

クラウドのような俊敏性とより低いコストとさらなる統制

AWSのウェブセミナーに参加すると、この会社がパブリッククラウドがもたらしたスピード向上と俊敏性についてどれだけ頻繁に話をしているかに気が付くとおもいます。AWSのウェブサイト (https://aws.amazon.com/what-is-cloud-computing/)から:

クラウドコンピューティング環境では、新しいITリソースはただの1つのクリックで利用でき、これはつまり、皆さんの開発チームがリソースが利用できるようにするための時間を数週間からほんの数分へと削減するということを意味します。この結果、組織には劇的な俊敏性の向上がもたらされます。何かを利用したり開発するために費やされるコストと時間が劇的に低減されるからです。

Nutanixのエンタープライズクラウドはお客様に低コストで統制のあるオンプレミスの環境とパブリッククラウドのような俊敏性と生産性の両方を実現します。これらの効果によって、会社の情報システムチームは、単に「火を灯し続ける」ことにチームのリソースを費やすのではなく、プロジェクトをよりビジネスに対しての付加価値になるものにシフトすることができます。

Nutanixのお客様の言葉です :

「Nutanix環境を管理しているエンジニアは現在1名だけです、以前はここに5人もの人手が必要でした。我々は従来に比べてテクノロジーをビジネスへの貢献という意味では3倍以上の結果を上げており、より多くのビジネスのための機能を提供できています。」

IDCのホワイトペーパーはビジネスの生産性と俊敏性の向上による節約効果は以下の3つの分野からなるとしています : 俊敏性/拡張性/パフォーマンス、ダウンタイムの削減、そしてセキュリティの向上です。

俊敏性/拡張性/パフォーマンス : Nutanixのお客様はIDCの調査に対してコンピューティングとストレージリソースの展開とアップグレードが飛躍的に早くなり、劇的にスタッフの時間を削減できたと述べています。一方で従来のインフラストラクチャと比べ、特筆すべきほど優れたパフォーマンスを実現しているとしています。情報システム部門がビジネス部門からの要求に常に追従できる能力を備えたことで、売上の向上に貢献しています。

「Nutanixでは拡張が簡単です。もっとストレージが、もしくはもっと設備が必要になったとしたら、単に追加すればよいのです。これはとても重要な事です。というのも、我々のビジネス部門は追加システムやキャパシティや彼らが必要としているものを待つ必要がなくなるということだからです。結果としてお客様を失うリスクを回避できるのです。」

ダウンタイムの削減 : Nutanixのエンタープライズクラウドはアプリケーションやサービスの非計画な停止の頻度や時間を削減するだけでなく、災害復旧や障害無害化の能力を向上させることも実現します。調査によると組織は非計画な停止による社員への影響を94%も削減できたとしています。これはNutanixを利用していて生産性を失ったという時間が1年間で4分だけと言い換えることもできます。

「Nutanixを利用していて2013年から1度もダウンタイムがありません。ワンクリックアップグレード方式も取り入れています。ですからNutanixがソフトウェアをリリースする度に新しいソフトウェアアップグレードを実装に取り込むことができていますし、その際にシステムがダウンするということはありません。単にOSをワンクリックアップグレードするだけなのです。」

セキュリティの向上 : Nutanixは開発ライフサイクルを通じてセキュリティが保たれています。設計と開発から検証と要塞化にいたるまでです。また、自身の技術的セキュリティ実装ガイド(Security Technical Implementation Guide ー STIG)も開発しており、これによってセキュリティの自動化と自己治癒モデルが実現する耐え、お客様がセキュリティを維持するのに役立っています。

「PCIコンプライアンスに関連する監査の観点から、我々は定期的にシステムにパッチを当ててメンテナンスを行っています。Nutanixはこれを実現することを非常に簡単にしてくれます。」

情報システム部門スタッフの生産性の向上

Fig287 参照元: IDC White Paper, sponsored by Nutanix, Nutanix Delivering Strong Value as a Cost-Effective, Efficient, Scalable Platform for Enterprise Applications, August 2017(ネットワールドによる補足入り)

俊敏性と市場に対する迅速な投入について大きく影響をあたえるのが情報システム部門スタッフの生産性の向上です。IDCは平均的にNutanixを利用した場合の管理に費やされる時間の削減率は61%であるとしました。

「8人の人手が必要な状態からNutanix環境に変えることで2人で管理ができるようになりました。その代わりに我々は店舗のフロアの自動化ソリューションの設計に多くの時間をつぎ込むことができています。従来この作業は非常に手のかかるものでした。ですから、ITをビジネスに活用することでビジネスに劇的な結果をもたらすことができています。」

Nutanixを利用することでのご自身の効果を計算する

IDCの調査はNutanixを導入することによる効果は年間平均で424万ドルになるとしています。この削減効果は4つの分野からなります :

ITインフラストラクチャのコスト削減と投資抑制: 維持管理、電力、設備、ライセンス、災害復旧から18万9,400ドル(100ユーザーあたり 2,281ドル)。

情報システム部門スタッフの生産性の向上: 情報システム部門スタッフが従来型のインフラストラクチャの展開、管理、そしてサポートにかかる時間を61%削減することによる107万ドルの削減 (100ユーザーあたり1万2,884ドル)。

リスクの無害化: 非計画な停止削減と早期の解決による 540,900ドル(100ユーザーあたり 6,516ドル )。

ビジネスの生産性の向上: 俊敏性、拡張性、パフォーマンスに加え高いユーザーの生産性によるビジネスの成果の向上によって244万ドル(100ユーザーあたり 2万9,395ドル)。

皆さんはどれだけの削減ができましたか? レポートを読んでご自身向けのカスタムヴァージョンをこちらのあなた自身の削減についてから入手して下さい。

Forward-Looking Statements Disclaimer

This blog includes forward-looking statements, including but not limited to statements concerning product performance, possible cost savings from utilizing our products, competitive position and potential market opportunities. These forward-looking statements are not historical facts, and instead are based on our current expectations, estimates, opinions and beliefs. The accuracy of such forward-looking statements depends upon future events, and involves risks, uncertainties and other factors beyond our control that may cause these statements to be inaccurate and cause our actual results, performance or achievements to differ materially and adversely from those anticipated or implied by such statements, including, among others: failure to develop, or unexpected difficulties or delays in developing, new product features or technology on a timely or cost-effective basis; delays in or lack of customer or market acceptance of our new product features or technology; the introduction, or acceleration of adoption of, competing solutions, including public cloud infrastructure; a shift in industry or competitive dynamics or customer demand; and other risks detailed in our Form 10-Q for the fiscal quarter ended April 30, 2017, filed with the Securities and Exchange Commission. These forward-looking statements speak only as of the date of this presentation and, except as required by law, we assume no obligation to update forward-looking statements to reflect actual results or subsequent events or circumstances.

© 2017 Nutanix, Inc. All rights reserved. Nutanix, the Enterprise Cloud Platform, and the Nutanix logo are registered trademarks or trademarks of Nutanix, Inc. in the United States and other countries. All other brand names mentioned herein are for identification purposes only and may be the trademarks of their respective holder(s).

記事担当者: マーケティング本部 三好哲生 (@Networld_NTNX

Ntc2017_2

今回は前々回と同様にIDCの調査結果からの投稿です。前々回は市場におけるシェアについての調査でしたが、今回はIDCが実施したNutanixの導入効果についてのものです。Nutanixを利用するとインフラコストが下がる? 管理コストが下がる? ダウンタイムが削減される? テクノロジーの観点からはこうした回答しか出てきませんが、Nutanixを導入するとなんと、ビジネスの成果があがるのです! つまり、Nutanixをつかって得られる本当の効果は、Nutanixを使っていない(インフラの管理から時離れたた)時間をつくることができるということになります。

当社もロボットを導入したり、AIを利用したりと様々な生産性を高める社内取り組みをしていますが、インフラの導入や管理、復旧などに頻繁に時間を取られているような状況ではこうした取り組みは中途半端に終ってしまいます。生産性の向上は働き方改革を含め今後の日本では非常に重要です。デジタル革命と働き方革命というキーワードは表裏一体で、そこでしっかりとした実績を挙げられるソリューションはなかなかないと思います。是非導入をご検討下さい。

2017/09/20

AHVのネットワークの新機能 パート3

本記事の原文はNutanixコミュニティのブログNutanix Connect Blogの記事の翻訳ヴァージョンです。原文の著者はNutanix社のStaff Solutions ArchitectのJason Burns氏によるものです。原文を参照したい方はWhat’s New in AHV Networking - Part 3をご確認ください。情報は原文の投稿時のままの情報ですので、現時点では投稿時の情報と製品とで差異が出ている場合があります。

当社のNutanix社製品についてはこちら。本ブログのNutanix関連記事のまとめページはこちら

ネットワールドのNutanix関連情報はぜひ以下のポータルから取得ください(初回はID、パスワードの取得が必要です)。

Fig279

本シリーズの以前の投稿で、我々はネットワークの可視化と自動化がどのようにNutanixの管理者の人生をシンプルにしてくれるのかを見てきました。しかし、単に接続を実現して、またはアプリケーションの通信の様子を可視化するだけでは十分とはいえません ー 我々は外部、もしくは内部からのネットワーク攻撃両方に対しての保護を行わねばなりません。

セキュリティの提供方法で最も良い方法はレイヤー化されたアプローチです。そのレイヤのうちの一つがマイクロセグメンテーションです。これが今回の記事の主題です。そして次のレイヤも探検します。ネットワークファンクションチェインと呼ばれるもので、これは次の記事となります。マイクロセグメンテーションの機能は将来のリリースでリリースされる予定です。

このブログのシリーズはNutanix .NEXTでアナウンスされたAHVのワンクリックネットワーク、優れた可視化、自動化、そしてセキュリティを実現する機能を取り上げます。

パート 1: AHV ネットワーク 可視化 

パート 2: AHV ネットワーク 自動化と統合

パート 3: AHV ネットワーク マイクロセグメンテーション

パート 4: AHV ネットワーク ファンクションチェイン

AHVのネットワークマイクロセグメンテーション

期待する状態またはその意図を宣言するという、ポリシーベースのアプローチによって、NutanixのAHVのマイクロセグメンテーションでネットワークの実装の詳細を気にすること無く、アプリケーションの保護を行うことに集中することができるようになります。このアプローチは従来型のIPアドレスとポートをベースとしたトラフィックの許可/却下のリストを利用するルールベースのファイヤウォールとは根本的に異なっています。

我々がファイヤウォールのルールをポリシーへと抽象化する際に、私は単に「人事の本番系環境は人士の開発系の環境とは絶対に通信できちゃマズイ」というような具合に言います。このような直接的なコマンドをうまく使うために、AHVは管理者に柔軟な、カテゴリと呼ばれるテキストベースのタグを仮想マシンにアサインできるようにしています。例えば「Environment : Production(環境:本番環境)」や「Department : HR (組織:人事)」という具合です。単一の仮想マシンを複数のユーザー定義のカテゴリへアサインすることができます。仮想マシンにアサインされたカテゴリがどのポリシーをその仮想マシンへ適応するかを決定します。

ポリシーの定義にカテゴリを利用することで、どんなネットワークアドレスがその通信に利用されるのかということは気にする必要がなくなります。古いルールベースのアプローチでは手動で本番環境のアドレスと開発環境のアドレスを指定し、物理ファイヤウォールにどうにかして入れ込む必要がありました。もしもアドレスが変わったとしたら、ファイヤウォールを更新しなくてはなりませんでした。悪くすると、このルールをネットワークのレベルで物理サーバ間で適応しなければならなくなっていました。仮想化によって、同一ホスト内の1つの仮想マシンとそれとは別の仮想マシンを保護する方法を見つけなくてはならなかったのです。

Fig280

マイクロセグメンテーションは上のポリシーベースのアプローチをAHVホストの仮想化スイッチ内に実装された仮想マシンのNICレベルの分散ファイヤウォールとを結合します。すべての仮想マシンのトラフィックは必ずこのファイヤウォールを通らなければなりません。これによってネットワークは非常にきめ細やかなレベルでセグメント化することができるのです。ー ですから「マイクロセグメンテーション」なのです。

分散ファイヤウォールはアプリケーションレベルのポリシーを実現します。直接的な宣言、たとえば「サンノゼの人事はExchangeのエッジ転送ティアへアクセスできるべきである」というような表現もすぐさまAHVクラスタの全ての仮想化サーバ上のレイヤ2から4のファイヤウォールルール上に実装することができ、更にどんなIPアドレスかMACアドレスが人事に割り当てられており、どんなアドレスがExchangeに割り当てられているということは気にする必要はありませんし、注意深くトラフィックパスがファイヤウォールを通ることを確認する必要もありません。AHVは望むアプリケーションポリシーを検証したり、実装したりすることをシンプル化し、AHVのファイヤウォールは同一ホスト上にある仮想マシン間のトラフィックはもちろん、ネットワークアドレスが変わったとしてもトラフィックを監査することができます。重要なことは、ポリシーは仮想マシンのIPアドレスやMACアドレスが変わっただけでは廃棄されたりはしないということです。それぞれの変更はシステムで行われているからです。

Fig281

NutanixのAHVのマイクロセグメンテーションは2つの手順でこうしたアプリケーションのポリシーを作成します。最初の手順はルールを監視するだけで、それを強制することはしません。違反するものがログに書き出され、管理者へ表示されますが、完全に許可されています。この繰り返しのアプローチによって、自身のアプリケーションのプロファイルを正確に反映したポリシーを作ることができます。アプリケーションの実際の振る舞いをも勘定に加えたポリシーに満足した際に、Applyボタンを押して、次の手順へと進みます。つまり、ポリシーを強制します。ポリシーに関する違反は今後はログに書き出され、更にドロップされるようになります。

レイヤ2からレイヤ4までの現実世界でのアプリケーションの振る舞いをベースとしたポリシーを作成するツールが手に入りました。次の記事ではレイヤ4もしくはそれ以上の仮想化サービスとの統合について取り上げます。

議論をそして、皆さん同士のつながりをフォーラムで続けていきましょう。

Forward-Looking Statements Disclaimer

This blog includes forward-looking statements concerning our plans and expectations relating to the availability of new technology and product features. These forward-looking statements are not historical facts, and instead are based on our current expectations, estimates, opinions and beliefs. This information is for informational purposes only, and the development, release, and timing of any features or functionality described remains at our sole discretion. The information provided is not a commitment, promise or legal obligation to deliver any features or functionality and it should not be relied on in making a purchasing decision. The accuracy of such forward-looking statements depends upon future events, and involves risks, uncertainties and other factors beyond our control that may cause these statements to be inaccurate and cause our actual results, performance or achievements to differ materially and adversely from those anticipated or implied by such statements, including, among others: failure to develop, or unexpected difficulties or delays in developing, new product features or technology on a timely or cost-effective basis; the introduction, or acceleration of adoption of, competing solutions, including public cloud infrastructure; a shift in industry or competitive dynamics or customer demand; adoption of new, or changes to existing, international laws and regulations; and other risks detailed in our quarterly report on Form 10-Q for the fiscal quarter ended April 30, 2017, filed with the Securities and Exchange Commission. These forward-looking statements speak only as of the date of this press release and, except as required by law, we assume no obligation to update forward-looking statements to reflect actual results or subsequent events or circumstances.

© 2017 Nutanix, Inc. All rights reserved. Nutanix, AHV, and the Nutanix logo are registered trademarks or trademarks of Nutanix, Inc. in the United States and other countries. All other brand names mentioned herein are for identification purposes only and may be the trademarks of their respective holder(s).

記事担当者: マーケティング本部 三好哲生 (@Networld_NTNX

Ntc2017_2

さぁ、いよいよマイセグが出てきました。大昔にこんな記事を書いていますが、考え方自身は大きく変わっていませんね。AHVというハイパーバイザーレイヤで実装されたファイヤウォールによって、アプリケーション(仮想マシン)一つ一つに柔軟なタグ付けを実現した上で、そのタグ同士の通信を制御する、SDNの強力なユースケースの一つです。もちろんNutanixはESXiハイパーバイザーに対応していますので、ESXiハイパーバイザーを利用している場合にはNSXを利用すればこれまでもこれが実現できていたわけですが、AHVにその機能が搭載されることによって遥かに低コストでこれを実現できるようになってきました。

VDI環境ではマルウェアの拡散防止に強力な効果を発揮しますので、VDI on AHVは非常に強力なセキュリティを備えた要塞環境と呼べるようになるのではないでしょうか。今後リリース後には当社でも様々なユースケースをテストしたいと考えています。

2017/02/01

ランサムウェアの被害が広まる??

日本国内でもランサムウェアの被害の件数と身代金の支払額が大幅に上がっているようです。

”ランサムウェア 2016”で検索するだけでもかなりの記事が出てきます。

被害は、一般企業よりも、医療公共教育関係が多く、全体の8~9割を締めています。報道される事例もあるわけですが、氷山の一角であろうと推測されます。

2016年の統計では、Q2からQ3で急激に件数が延び4倍に達したとの報告があります。

2017年も始まり1ヶ月が経ちますが、今年もウカウカしていられない状況が続きそうです。

また、身代金を支払っても、100%復旧できるかというとそうではないようです。 半数近くがデータが戻らない状況があったようです。 酷い話です。

始めから感染しなければ何も問題がないわけですが、お金を払った後でデータが元に戻らないのは問題です。

ついでに、偽のランサムウェア(感染していないけど攻撃したように見せかけて身代金を要求する)で身代金を支払った事例もあるようで、被害を恐れる心理面に漬け込む悪質な事例です。

インフルエンザと同様避けて通れない状況になってきていますので、感染しても大丈夫なように手立てを考えるべきだと思います。ネットワークには繋がり続けているわけですから、必要な対策をするべきでしょう。

セキュリティ面とデータ保護の2面から取り組むべきです。セキュリティ対策だけでは感染してからは手立てがないので、大事なデータは事前にバックアップが必要です。

それも出来る限り長い期間のバックアップを残すことが重要です。

今年もPCやスマホ、企業だけではなく個人のデータについてもバックアップを考えるよい機会だと思います。

是非、弊社のランサムウェア対策をご覧ください。

ランサムウェア対策:http://www.networld.co.jp/solution/ransomware/

Edit by :バックアップ製品担当 松村・安田