Nutanix による vSRX 仮想ファイアウォールの導入について
Nutanix プラットフォームの概要
Nutanix Virtual Computing Platform は、仮想マシン(VM)をホストして保存することを目的として構築された、スケールアウト型のコンバージド コンピューティングおよびストレージ システムです。
Nutanix クラスター内のすべてのノードが統合され、階層化されたストレージの統合プールを提供し、VM にリソースを表示してシームレスにアクセスできます。グローバルデータシステムアーキテクチャでは、各新しいノードがクラスターに統合されるため、インフラストラクチャのニーズに合わせてソリューションを拡張できます。Nutanix は、VMware vSphere(ESXi)、Microsoft HyperV、Citrix XenServer、Nutanix Acropolis ハイパーバイザー(AHV)(KVM ベース)をサポートします。
クラスターの基本ユニットは Nutanix ノードです。クラスター内の各ノードは、標準的なハイパーバイザーを実行し、プロセッサー、メモリ、ローカルストレージ(SSDとハードディスク)が含まれています。
Nutanix クラスターには分散アーキテクチャがあり、クラスター内の各ノードがクラスター リソースと責任の管理を共有します。各ノード内には、クラスター操作中に特定のタスクを実行するソフトウェア・コンポーネントがあります。すべてのコンポーネントはクラスタ内の複数のノードで実行され、コンポーネントも実行するピア間の接続に依存します。ほとんどのコンポーネントも、情報については他のコンポーネントに依存しています。
Nutanix Controller VM は各ノードで実行され、クラスター内のすべてのノードからローカル ストレージをプーリングできます。
ゲスト VM データ管理
VM データはローカルに保存され、ハードウェア障害から保護するために他のノードで複製されます。
ゲストVMがハイパーバイザーを通じて書き込み要求を送信すると、その要求はホスト上のコントローラVMに送信されます。ゲスト VM に迅速に応答するために、このデータは最初にストレージのサブセット内のメタデータ ドライブに保存されます。このキャッシュは、10ギガビットイーサネット GbEネットワーク全体に迅速に分散され、クラスタ内の他のメタデータドライブに配信されます。運用ログ データは、クラスター内の永続ストレージに定期的に転送されます。パフォーマンスのためにローカルにデータが書き込まれると、高可用性のために複数のノードで複製されます。
ゲストVMがハイパーバイザーを通じて読み取り要求を送信すると、コントローラVMはローカルコピー(存在する場合)から最初に読み取ります。ホストにローカル コピーが含まれていない場合、コントローラー VM は、コピーを含まないホストからネットワーク全体を読み取ります。リモート データにアクセスすると、現在のホスト上のストレージ デバイスに移行され、将来の読み取り要求をローカルにすることができます。
ゲスト VM データ管理には、以下の機能が含まれます。
MapReduce tieringNutanix クラスタは、アクセス頻度に基づいてデータを動的に管理します。新しいデータは SSD 階層に保存されます。頻繁にアクセスされるデータは SSD 階層に保持され、古いデータは HDD 階層に移行されます。
自動データ移行は、ネットワーク全体の読み取り要求にも適用されます。ゲスト VM がリモート ホスト上のデータ ブロックに繰り返しアクセスする場合、ローカル コントローラ VM はそのデータをローカル ホストの SSD 階層に移行します。この移行により、ネットワークの遅延が短縮されるだけでなく、頻繁にアクセスされるデータが最速のストレージ 階層に保存されるようになります。
Live migration手動で開始する VM でも、vSphere DRS などの自動プロセスでも、VM のライブ移行は Nutanix Virtual Computing Platform で完全にサポートされます。クラスター内のすべてのホストは、コントローラ VM を介して共有 Nutanix データ ストアを可視化します。ゲスト VM データはローカルに書き込まれます。また、高可用性のために他のノードでも複製されます。
VM を別のホストに移行する場合、将来の読み取り要求が存在する場合は、データのローカル コピーに送信されます。それ以外の場合、要求されたデータが含まれていないホストに、ネットワークを介して要求が送信されます。リモート・データにアクセスすると、リモート・データは現在のホスト上のストレージ・デバイスに移行され、将来の読み取り要求はローカルになります。
High availability (HA)Nutanix クラスタに組み込まれたデータ冗長性は、ハイパーバイザーによって提供される高可用性をサポートします。ノードに障害が発生した場合、高可用性で保護されたすべての VM をクラスター内の他のノードで自動的に再起動できます。vCenter などのハイパーバイザー管理システムは VM の新しいホストを選択します。VM データのコピーが含まれている場合とそうでない場合があります。
Virtualization management VM high availability仮想化管理VMの高可用性では、ノードが利用できなくなった場合、そのノード上で実行されているVMが同じクラスタ内の別のノードで再起動されます。
通常、エンティティの障害は、ネットワークからの分離(ハートビートへの応答の失敗)によって検出されます。仮想化管理により、フェイルオーバー時の任意の時点で VM のインスタンスが最大 1 つ実行されるようになります。このプロパティにより、破損につながる可能性のある同時ネットワークおよびストレージ I/O が防止されます。
仮想化管理VMの高可用性は、ノードに障害が発生した場合に、他のVMに対応するのに十分なリソースを確保するのに役立つアドミッションコントロールを実装します。
Datapath redundancy— Nutanix クラスターは、ハイパーバイザー ホストとそのゲスト VM データ間の最適なパスを自動的に選択します。コントローラ VM には複数の冗長パスが用意されており、クラスタは障害に対する耐障害性を高めます。
使用可能な場合、ローカル・コントローラー VM からローカル・ストレージ・デバイスへの最適なパスが使用されます。場合によっては、ゲスト VM が最近別のホストに移行されたときなど、ローカル ストレージでデータを利用できません。このような場合、コントローラVMは、ネットワーク全体の読み取り要求を、そのホストのコントローラVMを介して別のホスト上のストレージに誘導します。
ローカルコントローラVMが利用できない場合、データパスの冗長性も応答します。ストレージ パスを維持するために、クラスタはホストを別のコントローラ VM に自動的にリダイレクトします。ローカル コントローラ VM がオンラインに戻ると、この VM にデータパスが返されます。
Nutanix による vSRX 仮想ファイアウォールの導入の概要
このトピックでは、Nutanix Enterprise Cloud での vSRX 仮想ファイアウォールの導入の概要について説明します。
vSRX 仮想ファイアウォールは、ジュニパーネットワークス SRX シリーズ の物理ファイアウォールと同じ高度な機能を備えていますが、仮想化された筐体でも利用できます。最大 100 Gbps の速度に対応し、業界最速の仮想ファイアウォールです。Nutanix を使用した vSRX 仮想ファイアウォールの特長:
単一のプラットフォームで、あらゆる仮想ワークロードに対して高いパフォーマンスと予測可能な拡張性を提供します。
拡張性に優れた仮想データ センター向けのハイパフォーマンス なネットワークとセキュリティ。
マルチハイパーバイザーサポート(Hyper-V、ESXi、Acropolis Hypervisor)と、コンピューティングリソースとストレージリソースを適切に組み合わせた完全なアプライアンスポートフォリオによる柔軟性。
VM の稼働を維持し、VM 中心のバックアップと統合ディザスター リカバリーによって保護します。
管理を簡素化する自動化機能を備えた革新的なバーチャルシャーシファブリックアーキテクチャ。
従来のネットワーク環境では、手動による柔軟性に乏しく、静的な接続とセキュリティの実装が機能する場合があります。しかし、アプリケーションの要件が動的に変化するマルチクラウド時代において、ネットワーク セキュリティは俊敏性と拡張性を備えたコンピューティングとストレージを備えたパートナーである必要があります。
エンタープライズ マルチクラウドでは、通常、Nutanix Enterprise Cloud などの境界セキュリティ ソリューションを使用して、HCI を出入りする North-South トラフィックに含まれる脅威をブロックします。これらのソリューションは効果的であるため、侵害された仮想マシン(VM)によって生じた脅威から防御することはできません。これにより、データ センター自体のアプリケーションとサービス間を流れる East-West トラフィックに感染します。これらの脅威を特定してタイムリーに対処しないと、ミッションクリティカルなアプリケーションが侵害され、機密データが失われる可能性があり、組織の収益と評判に修復不可能な損害を与える可能性があります。
vSRX 仮想ファイアウォールは Nutanix Enterprise Cloud と連携して、高度なセキュリティ、一貫した管理、脅威の自動修復機能、効果的なマイクロセグメンテーションを実現し、今日のマルチクラウド環境を保護するセキュアで自動化されたソリューションを提供します。
ジュニパーネットワークスと Nutanix が共同で提供するハイパーコンバージド ソリューションは、高度なセキュリティ、一貫した管理、脅威の自動修復機能、自動化、効果的なマイクロセグメンテーションにより、企業のマルチクラウド環境のセキュリティを強化します。企業は、運用と管理の複雑さに伴うオーバーヘッドなしで、セキュアで自動化されたマルチクラウドを簡単に導入できるようになりました。
Nutanix はクラウドでオンデマンド サービスを提供します。サービスは、IaaS(Infrastructure as a Service)や Platform as a Service(SaaS)から、Application and Database as a Service まで多岐に及んでいます。Nutanix は、柔軟性、拡張性、信頼性に優れたクラウド プラットフォームです。Nutanix では、個人所有ライセンス(BYOL)サービスとしてサーバーとサービスをクラウド上でホストできます。
Nutanix による vSRX 仮想ファイアウォールのメリット
Advanced security—ユーザーおよびアプリケーションファイアウォール、高度な脅威防御、侵入防御などの高度なセキュリティサービスを提供することで、ビジネスを保護します。
Microsegmentation:マイクロセグメンテーションを採用して、アプリケーションのセキュリティを強化し、企業のマルチクラウドにおける水平方向の脅威の拡散を防御します。効果的なマイクロセグメンテーションにより、仮想ワークロードを保護します。
マイクロセグメンテーションにより、仮想化されたホストレベルでセキュリティポリシーを適用することで、きめ細かいセグメンテーションと制御が容易になります。セキュリティの観点から見ると、脅威をブロックできるレベルが細かいほど、脅威の伝播を封じ込めるのがより効果的になります。管理者は、マイクロセグメンテーションと脅威の自動修復機能でセキュリティソリューションを強化し、データセンターの水平方向のトラフィックを一般的な侵害から保護するために必要な可視化と制御を提供する必要があります。
Visibility—アプリケーション、ユーザー、IP の動作を詳細に可視化し、分析します。
AutomationNutanixとジュニパーネットワークスの豊富なAPIと自動化ライブラリを提供し、俊敏なDevOpsワークフローを実現します。セキュリティとネットワークワークフローの自動化を統合することで、セキュリティ対応を改善します。
Operational simplicity—単一画面で管理し、マルチクラウドの導入全体をシンプルかつ直感的に制御することで、ポリシーの導入と適用を効率化し、可能にします。
Nutanix AHV による vSRX 仮想ファイアウォールの導入について
Nutanix Acropolis Hyperconverged Infrastructure(HCI)は、VMware vSphere(ESXi)、Microsoft HyperV、Citrix XenServer、Nutanix AHVなどの仮想化ソリューションでお客様の選択をサポートします。AHV は機能豊富な Nutanix ハイパーバイザーです。AHV は、定評あるオープン ソース技術をベースにしたエンタープライズ対応ハイパーバイザーです。Nutanix AHV は、Acropolis に含まれるライセンスフリーの仮想化ソリューションで、マルチクラウド環境に対応したエンタープライズ仮想化を実現します。AcropolisとAHVにより、仮想化はNutanix Enterprise Cloud OSに緊密に統合されており、ライセンスの取得、導入、管理を個別に行う必要があるスタンドアロン製品として階層化されるのではなく、Nutanix Enterprise Cloud OSに緊密に統合されています。
VM の導入、クローニング、VM の保護などの一般的なタスクは、個別の戦略で異なる製品やポリシーを使用するのではなく、Nutanix Prism を通じて一元管理されます。
図 1 は、AHV ハイパーバイザーを使用して Nutanix Enterprise Cloud のプライベート サブネットで実行されているアプリケーションに対して、セキュリティがどのように提供されるかを示しています。
Nutanix AHV 仮想化ソリューションは、管理に必要なツールを含め、既に設置されている工場から出荷され、状態を整える準備が整っています。そのため、クラスターをラックに入れ、電源を入れるとすぐにシステムを稼働させることができます。システムが稼働すると、シンプルな HTML 5 Web UI で環境を維持できます。導入する各クラスターで利用できる Prism エレメントは、この UI を Nutanix ソリューション全体と統合します。各 Nutanix クラスタから、クラスタ IP または個々の Nutanix Controller 仮想マシン(CVM)IP アドレスを通じて Prism エレメントにアクセスできます。Prismエレメントには追加のソフトウェアは不要です。すべての Nutanix クラスターに組み込まれており、AHV のサポートが組み込まれています。
導入の管理に一元化されたメカニズムが必要な場合は、Nutanix ポータルから Prism Central を利用するか、Nutanix クラスターから直接導入できます。Prism Central は、ESXi、Hyper-V、AHV で実行可能な堅牢なオプションソフトウェア アプライアンス VM です。
Prism Central は、プラットフォームとハイパーバイザーに依存しない管理インターフェイスの両方で、導入した Nutanix クラスターの集約ビューを提供します。Prism Central では、クラスターの表示と管理に加えて、VM、ホスト、ディスク、コンテナ、またはプールされたディスクに関する情報も提供されます。
Prism Central は、複数の Nutanix クラスターだけでなく、ネイティブの Nutanix ハイパーバイザー AHV も 1 つの画面で管理できます。他のハイパーバイザーとは異なり、AHV では UI でレンダリングされたデータを維持するために追加のバックエンド アプリケーションやデータベースは必要ありません。
Prism はクラスタ内のすべてのノードで動作しますが、他のコンポーネントと同様にリーダーとして選択されます。すべてのリクエストは、Linux iptablesを使用してフォロワーからリーダーに転送されます。これにより管理者は、任意のコントローラのVM IPアドレスを使用して Prism にアクセスできます。Prism リーダーに障害が発生した場合は、新しいリーダーが選出されます。また、リーダーは、VMのステータスと関連情報についてESXiホストと通信します。Junos Space Security Director は、Nutanix AHV クラスターの各ノードに導入された vSRX 仮想ファイアウォール仮想ファイアウォールを管理し、統合セキュリティ ポリシー マネージャーとして Nutanix ベースのプライベート クラウドおよびパブリック クラウド(AWS/Azure)内のすべての vSRX 仮想ファイアウォール VM に一貫したポリシーを適用します。
VMとアプリケーション間のトラフィックはvSRX仮想ファイアウォールを介してリダイレクトされるため、高度な脅威防御機能を備えた次世代ファイアウォールセキュリティサービスをプロビジョニングできます。Nutanix Enterprise Cloud 内のトラフィックにセキュリティ ポリシーを適用することで、マイクロセグメンテーションによって Nutanix HCI を強化し、アプリケーションとユーザーのアクセスを特定して制御しながら、水平方向に拡散する高度な脅威をブロックします。これにより、セキュリティ管理者は、ゼロトラストセキュリティ原則を使用して、ミッションクリティカルなアプリケーションとデータを分離してセグメント化できます。
Nutanix による vSRX 仮想ファイアウォール導入のコンポーネント
vSRX 仮想ファイアウォールと Nutanix との共同ソリューションには、以下の主要コンポーネントが含まれています。
vSRX Virtual FirewallvSRX仮想ファイアウォールは、ジュニパーネットワークスのSRXシリーズの物理ファイアウォールと同じ高度な機能を備えたセキュリティを仮想化された形式で提供します。
Junos Space Security Director—Junos Space Security Director を使用すると、ネットワーク事業者は、仮想ファイアウォールと物理ファイアウォールの分散型ネットワークを 1 か所から管理できます。Security Directorは、vSRX仮想ファイアウォール仮想ファイアウォールの管理インターフェイスとして機能し、すべてのvSRX仮想ファイアウォールインスタンスでファイアウォールポリシーを管理します。詳細、脅威マップ、イベントログを含むカスタマイズ可能なダッシュボードが含まれており、ネットワークセキュリティをこれまでにないレベルで可視化します。Google Android および Apple iOS システム用のモバイル アプリケーションを介してリモートモバイル監視も可能です。
Nutanix AHVNutanix AHV は、Nutanix Enterprise Cloud OS に含まれるエンタープライズクラスの仮想化ソリューションで、ライセンスの取得、インストール、管理に必要な追加のソフトウェア コンポーネントはありません。AHV は、実績のあるオープンソースの仮想化技術から始めて、最適なパフォーマンスを実現する高度なデータパス、セキュリティ強化、フロー ネットワークの仮想化、完全な管理機能を組み合わせて、無駄のない強力な仮想化スタックを実現し、コストのかかるシェルフを不要にし、仮想化コストを削減します。
Nutanix Manager (Nutanix Prism)Nutanix Prism は、管理者が nCLI と Web コンソールを使用して仮想データ センター環境の Nutanix クラスターおよびソリューションを構成および監視するためのエンドツーエンドの管理ツールです。エンドツーエンドの管理機能は、共通のワークフローを合理化および自動化するため、データセンター運用全体に複数の管理ソリューションを導入する必要はありません。Prism は、高度な機械学習技術を活用してシステム データを分析し、仮想化とインフラストラクチャ管理を最適化するための実用的なインサイトを生成します。
Nutanix AHV を使用した vSRX 仮想ファイアウォールの導入例
AHVハイパーバイザーを備えたNutanix Enterprise Cloudのプライベートサブネットで実行されているアプリケーションにセキュリティを提供するvSRX仮想ファイアウォールの導入例を 図2に示します。
vSRX 仮想ファイアウォール イメージは、Nutanix AHV 仮想化ソリューションをハイパーバイザーとして Linux ベースのカーネルに読み込みます。AHV ベースの VM はマルチテナント機能をサポートしているため、ホスト OS 上で複数の vSRX 仮想ファイアウォール VM を実行できます。AHV は、ホスト OS と複数の vSRX 仮想ファイアウォール VM 間でシステム リソースを管理および共有します。
vSRX 仮想ファイアウォールでは、Intel Virtualization Technology(VT)対応プロセッサーを搭載したホスト OS 上でハードウェアベースの仮想化を有効にする必要があります。
この導入の基本コンポーネントは次のとおりです。
Linux bridge- CVM 制御トラフィックに使用されます。
Open vSwitch (OVS) bridge(s)—VMトラフィックを形成し、物理ポートに接続するために使用されます。
Physical switchホスト上の物理ネットワーク ポートへのトラフィックの送信