Prism Self Service『構築編』

2024年10月28日

Nutanix Prism Self Service『構築編』

こんにちは、 双日テックイノベーションの高村と申します。
今回はPrism Central上で動作するインフラ管理機能である、Prism Self Service(PSS)の「プロジェクト」の構築方法を紹介いたします。
「プロジェクト」を作成することで、ユーザーへ自由なVM構築・管理ができる環境を提供することができます。
Blogでは、『座学編』『構築編』、『検証編』の3回に渡ってPSSについて紹介させていただき、本記事ではPSSの根幹の機能である「プロジェクト」の作成方法をお伝えします。

プロジェクトとは?

Prism Self Service『座学編』にてPSSの全体像について紹介いたしましたが、今回は実際に設定・使用するための記事となります。PSSの根幹となる機能である「プロジェクト」について、ここでは解説をします。
プロジェクトとは、「特定のユーザーグループに対してリソースを与え、ユーザーが独自でVM構築・運用ができる環境」の単位です。
管理者が用意したリソース領域であるプロジェクトを、ユーザー達が自由に利用することが、PSSのコンセプトになります。
管理者がプロジェクトを作るための作業は主に3ステップで、「リソースの設定」「クォータ設定」「ユーザー、ロールの設定」が必要になります。
なお、PSSを利用する事前作業として「ADサーバー作成」「Prism CentralとAD連携」を行う必要があります。

プロジェクトの作成方法

  • プロジェクト作成を開始
  • Prism CentralのAdmin Centerから、Projectsを選択し、[Create Project]をクリックします。

  • Project 名の入力
  • Project Name にプロジェクト名を入力します。オプションとして Description に説明を入力することや、この画面で Project の管理者を設定することもできます

  • リソースの設定
  • こちらがプロジェクトの詳細を設定する画面になります。
    まずは、Add Infrastructureをクリックし、使用するリソースの元を決めます。
    [Configure Resources]をクリックし、使用するクラスタを設定します。オプションとして、クラスタに設定されているVLANをこのプロジェクトに使用することもできます。

  • クォータ設定(リソース制限の設定)
  • リソースの設定が完了したら、リソース制限の設定を行うことができます。
    vCPUとStorage容量、RAMのサイズを設定できます。この制限を超えると、ユーザーはVMの作成及び起動ができなくなります。

  • ユーザー、ロールの設定
  • Users&Groupsタブに移動します。
    [Add/Edit Users&Groups]にて、ユーザーの追加及び権限の付与を行います。
    [Add User]をクリックし、プロジェクトへユーザーの追加を行います。
    ユーザー情報は連携しているADサーバーに基づいて取得されます。
    ADサーバーから参照したユーザーに対し、権限(Role)を設定することができます。
    これらの権限はNutanix独自に作成された「ビルトインロール」や独自にカスタマイズできる「カスタムロール」があります。決められた名称のロールを、プロジェクト別にその役割のユーザー達へ付与ができるので、セキュリティ上のミスは軽減されると思われます。
    [Save Users and Project]をクリックして、変更を保存します。

    これでプロジェクトの作成は完了です。
    プロジェクトの作成以降は、プロジェクトに参加しているユーザーはPrism Centralのログイン画面から自身のユーザー名、ADサーバー上のパスワードにてPrism Centralへログインすることが可能になります。

    ロールについて

    PSSのユーザー登録時に使用される「ロール」は、PSSのセキュリティを担う重要な部分になります。
    ロールの動作の詳細については「Prism Centralのユーザーロールについて」の記事で解説します。
    ユーザーロールは「ビルトインロール」と「カスタムロール」の2つがありますが、ビルトインロールはロール名から、その操作可能権限範囲を予想しづらく、注意が必要です。
    ビルトインロールをコピーし、それをベースにカスタムロールを作ることが、より効率的でセキュアなロール作成を行うことができるのではないかと考えられます。
    カスタムロールはかなり詳細に権限設定を決めることができますが、注意が必要です。
    例えば「VM作成を行う権限」を作成したい場合、単純にカスタムロール上で「VM操作権限」を与えるだけでは不完全です。イメージを参照するので「イメージの閲覧権限(編集権限は不要)」が必要で、また、その他「ネットワークの閲覧権限」「クラスタ情報閲覧権限」なども必要になります。
    具体的にユーザーの役割に対して、「操作・編集が必要な権限」と「参照が必要な権限」を分けて考えることが重要になると考えられます。

    ビルトインロールの権限範囲一覧について、カスタムロールの考え方については、別記事「Prism Centralのユーザーロールについて」にて投稿を予定しています。

    まとめ

    Prism Self Service(PSS)で「プロジェクト」を作成する方法を解説しています。PSSのプロジェクトは、特定のユーザーグループが仮想マシン(VM)を構築・運用できる環境を提供する単位です。プロジェクト作成には、「リソース設定」、「クォータ設定」、「ユーザーとロールの設定」の3つのステップがあります。ユーザーに付与する権限(ロール)は、Nutanixのビルトインロールやカスタムロールを使用して設定可能です。カスタムロールの設定には、VM作成に必要な権限だけでなく、ネットワークやイメージの閲覧権限なども含め、詳細な考慮が必要です。

    次の記事で、PSSの検証項目を策定し、行った検証結果を記載する予定です。