2025年01月15日
Nutanix Prism Self Service『検証編』
このブログの目次
PSSの動作検証計画
検証内容の観点は大きく分けて 2 つあり、「PSS は本当に狙い通りに動くのか?」といった動作確認と、「予想外の操作をしたとき、PSS ではどう対応されるのか?」と「予想外の操作になりやすい部分はないのか?」といった予想外の動作確認を行います。
検証については、「PSS 動作確認」「プロジェクト」「ロール」「カタログアイテム」「ネットワーク」の5つの項目について検証を行いました。通常使用ができる事、使用時に考えられる追加の懸念事項や、操作の間違いが起きた際の動きを確認します。
検証実施と結果
「検証計画」で策定した結果についてまとめていきます。
「PSS動作確認」「プロジェクト」については、下記の表の通り検証を実施できました。
【PSS動作確認について】
「ログインしたユーザーでのVM構築とVM操作」の詳細
プロジェクトで、追加されたユーザ ーはそのプロジェクト内のVMを操作できます。ただし、ユーザーを追加する際のロール設定で、VMを操作できる権限を追加した時に限ります。
VMの表示範囲については、VM作成時にプロジェクトの設定を行うことで、制限を行うことができます。
【プロジェクトについて】
プロジェクトからユーザーを削除すると正常に閲覧権限は剥奪され、リソースを間違えて変更しても、直ちに影響はありませんでした。
続いて、「ロール」「カタログアイテム」「ネットワーク」については、下記の表の通りに検証を実施できました。
【ロールについて】
こちらについては別のBlog「Prism Centralにおけるユーザーロールについて」で詳細な説明をしますが、想像通りの動きをしていました。ロールの動作確認については、ビルトインロールをコピーし、カスタムロールを作る際に中身を確認することができます。
ただし、Prism Centralのバージョンアップに伴い、内容が変更される可能性も否めません。
適用中のロールを削除することはできないので、誤ってロールを削除して権限変更ができなくなるなどの問題もなさそうです。
【カタログアイテムについて】
カタログアイテムとは、イメージファイルやVMテンプレートを管理する単位です。
これはプロジェクトで管理・使用することができます。
プロジェクト内で利用頻度の高いカスタムされたVMをテンプレート化し、カタログアイテムに変換させることで、ユーザーに対して簡単にカスタムVMを展開させることができます。
ただ、このカタログアイテムはプロジェクト単位での閲覧制限を設けられないため注意が必要です。
こちらに関する注意事項と対策は、次章の「PSSでの注意点」に詳細を書きます。
【ネットワークについて】
プロジェクトを作成する際に、プロジェクトのリソース設定にてクラスターに使用されているVLANを使用することができます。
もし、VLANが用意されていない場合でも、ネットワーク分離をすることができます。
これをしない場合、プロジェクトを超えたIPの通信ができてしまい、他プロジェクトのVMが自分のプロジェクトのVMへアクセスできてしまう問題があります。
VLANが用意できない場合、Flow Network Securityの機能の一つである「Isolate Policy」によるカテゴリ別の環境分離機能を使うか、Flow Virtual Networkingの機能である「仮想プライベートクラウド(VPC)」により、環境別に専用ネットワークを作成することで、プロジェクト別のネットワークの相互通信を遮断することができます。
しかし、VLANを用意しない場合のオプションでは、追加ライセンスが必要になります。
PSSでの3つの注意点
【ビルトインロールの挙動について】
RBAC(ロールベースアクセス制御)は決まった役割のユーザーに対して常に決まったロールを渡すことで、間違いの起こりにくいセキュリティを実現することができます。しかし、ビルトインロールの挙動について明確に把握していなければ、想定外の動作を行うこともあり得ます。対策としては、一度、ビルトインロールをコピーしてカスタムロールを作る際に、中身を確認することが重要です。加えて、Prism Centralのバージョンアップでビルトインロールが変化することもあるので、常に社内で制定した権限に基づいたカスタムロールを作成し、使い続けることが確実な権限管理ができると考えられます。
【カタログアイテムの閲覧権限について】
カタログアイテムや、イメージファイルなどのリソースはプロジェクト別に閲覧権限を設けることができません。
Project AでもProject Bでも、お互いのリソースが見えてしまいます。
ロールによる権限で、カタログアイテムの閲覧制限を行った場合、全カタログアイテムが見えなくなるだけなので、効果的な対応といえません。
どうしてもVMテンプレートとして使いたい場合、VMだけはプロジェクト別に閲覧権限を設けることができるため、テンプレート用のVMを作成し、それをクローンしていくしか今のところ方法がありません。
現状、カタログアイテムを使う場合は最低限の情報で、他人に見られても良い名前とファイル内容であることが前提になります。
【ネットワークについて】
プロジェクト作成時にVLANを設定しない場合や、別のプロジェクトと同じVLANを使ってしまった場合、双方のプロジェクトのVM同士のネットワーク通信ができてしまいます。管理者の管理方法によりますが、リスクとしては別プロジェクトのVMと自分のプロジェクトのVMのIPが被ってしまい、挙動がおかしくなることや、悪意を持って対象VMにアクセスをする人がいる可能性もあります。
対策としては、VLANを用意することや、Flow Network Securityの機能の一つである「Isolate Policy」によるカテゴリ別の環境分離機能を使うか、Flow Virtual Networkingの機能である「VPC」により、環境別に専用ネットワークを作成することで、プロジェクト別のネットワークの相互通信を遮断することができます。
しかし、Flowを使う際にはProライセンスか、セキュリティアドオンライセンスの追加購入が必要となります。
まとめ
Nutanix Prism Self Service(PSS)の検証編では、PSSが正常に動作するかを確認し、予想外の操作や問題箇所を洗い出しました。具体的には、「PSS動作確認」「プロジェクト」、「ロール」、「カタログアイテム」、「ネットワーク」の5項目について、基本動作から、イレギュラーなミスやそれに陥りやすい点まで動作確認を実施。特にネットワーク分離にはVLANの設定が重要です。また、カタログアイテムの閲覧権限に制約があるため、プロジェクト単位での管理に注意が必要です。