
2024年10月28日
Nutanix Prism Self Service『構築編』
プロジェクトとは?
Prism Self Service『座学編』にてPSSの全体像について紹介いたしましたが、今回は実際に設定・使用するための記事となります。PSSの根幹となる機能である「プロジェクト」について、ここでは解説をします。
プロジェクトとは、「特定のユーザーグループに対してリソースを与え、ユーザーが独自でVM構築・運用ができる環境」の単位です。
管理者が用意したリソース領域であるプロジェクトを、ユーザー達が自由に利用することが、PSSのコンセプトになります。
管理者がプロジェクトを作るための作業は主に3ステップで、「リソースの設定」「クォータ設定」「ユーザー、ロールの設定」が必要になります。
なお、PSSを利用する事前作業として「ADサーバー作成」「Prism CentralとAD連携」を行う必要があります。

プロジェクトの作成方法


まずは、Add Infrastructureをクリックし、使用するリソースの元を決めます。


vCPUとStorage容量、RAMのサイズを設定できます。この制限を超えると、ユーザーはVMの作成及び起動ができなくなります。

[Add/Edit Users&Groups]にて、ユーザーの追加及び権限の付与を行います。

ユーザー情報は連携しているADサーバーに基づいて取得されます。
ADサーバーから参照したユーザーに対し、権限(Role)を設定することができます。
これらの権限はNutanix独自に作成された「ビルトインロール」や独自にカスタマイズできる「カスタムロール」があります。決められた名称のロールを、プロジェクト別にその役割のユーザー達へ付与ができるので、セキュリティ上のミスは軽減されると思われます。
[Save Users and Project]をクリックして、変更を保存します。

これでプロジェクトの作成は完了です。
プロジェクトの作成以降は、プロジェクトに参加しているユーザーはPrism Centralのログイン画面から自身のユーザー名、ADサーバー上のパスワードにてPrism Centralへログインすることが可能になります。
ロールについて
PSSのユーザー登録時に使用される「ロール」は、PSSのセキュリティを担う重要な部分になります。
ロールの動作の詳細については「Prism Centralのユーザーロールについて」の記事で解説します。
ユーザーロールは「ビルトインロール」と「カスタムロール」の2つがありますが、ビルトインロールはロール名から、その操作可能権限範囲を予想しづらく、注意が必要です。
ビルトインロールをコピーし、それをベースにカスタムロールを作ることが、より効率的でセキュアなロール作成を行うことができるのではないかと考えられます。
カスタムロールはかなり詳細に権限設定を決めることができますが、注意が必要です。
例えば「VM作成を行う権限」を作成したい場合、単純にカスタムロール上で「VM操作権限」を与えるだけでは不完全です。イメージを参照するので「イメージの閲覧権限(編集権限は不要)」が必要で、また、その他「ネットワークの閲覧権限」「クラスタ情報閲覧権限」なども必要になります。
具体的にユーザーの役割に対して、「操作・編集が必要な権限」と「参照が必要な権限」を分けて考えることが重要になると考えられます。
ビルトインロールの権限範囲一覧について、カスタムロールの考え方については、別記事「Prism Centralのユーザーロールについて」にて投稿を予定しています。
まとめ
Prism Self Service(PSS)で「プロジェクト」を作成する方法を解説しています。PSSのプロジェクトは、特定のユーザーグループが仮想マシン(VM)を構築・運用できる環境を提供する単位です。プロジェクト作成には、「リソース設定」、「クォータ設定」、「ユーザーとロールの設定」の3つのステップがあります。ユーザーに付与する権限(ロール)は、Nutanixのビルトインロールやカスタムロールを使用して設定可能です。カスタムロールの設定には、VM作成に必要な権限だけでなく、ネットワークやイメージの閲覧権限なども含め、詳細な考慮が必要です。
次の記事で、PSSの検証項目を策定し、行った検証結果を記載する予定です。