前回の記事では、Nutanix Moveによる移行方法を紹介をさせていただきました。
今回はNutanix Flowの利用方法について紹介していきます。
本章での検証範囲
本記事では、前回の記事で紹介した6ステップのうち、ステップ6の「Flow 利用方法」について記載します。
- Nutanix CE インストーラー入手
- Nutanix CE デプロイ&クラスター作成
- Prism 基本設定
- Async DR 方法
- Nutanix Move 移行方法
- Flow 利用方法
Nutanix Flowについて
Nutanix Flowは、Nutanixのソフトウェア定義ネットワーキング(SDN)ソリューションで、仮想マシン(VM)レベルでのファイアウォール保護を提供するセキュリティ機能となります。
Nutanix Flowの特徴は以下となります。
- マイクロセグメンテーション:
- 仮想マシンの通信を細かく制御し、セキュリティを強化する
- アプリケーションの可視化:
- アプリケーションの通信を視覚的にマッピングし、ネットワークのトラフィックを把握しやすくする
- ゼロトラストセキュリティ:
- アプリケーションとデータへのアクセスを厳密に制御し、セキュリティを強化する
Nutanix Flowセキュリティタイプについて
Flowの設定には、次の4つのセキュリティタイプがあります。
- アプリケーションの保護(Application Security Policy)
- 環境の分離(Isolation Environment Policy)
- 隔離(Quarantine Policy)
- VDIの保護(VDI Policy)
これらの機能によってNutanix上で動作する仮想マシンンの通信制御をすることができます。
- アプリケーションの保護
- ポート番号やプロトコルを指定することで、ネットワークを制御することができる
- 環境の分離
- 異なる環境(例:開発、テスト、本番)をは論理的に分離する、といったルールを定義することができる
- 隔離
- 設定した仮想マシンのトラフィックをすべて拒否し、ネットワークから切り離すためのもの設定となる
- VDIの保護
- Active Directoryグループメンバーシップを使用したVDI VMのIDベースのポリシーでは、IDファイアウォールを利用して、Active DirectoryからPrism Centralにグループをカテゴリ(カテゴリキーADGroup内)としてインポートできる
- れにより、他のカテゴリと同様にポリシーを設定することができる
Nutanix Flow カテゴリーについて
セキュリティタイプのカテゴリーとしては以下のようなものがあります。
- AppTier
- アプリケーションの層(Web、application_logic、データベースなど)の値をカテゴリに追加することができる
- ポリシーを構成する際に追加したアプリケーションの層の値を指定することができる
- APPType
- VMを、ExchangeやApache_Sparkなどの適切な組み込みアプリケーションの種類に関連付ける
- Environment
- 相互に分離する環境の値を追加し、VM を値に関連付ける
- Quarantine
- VM を検疫する場合にこのカテゴリに VM を追加する
- ADGroup
- ADGroupはID ベースのセキュリティ (ID ファイアウォール) によって管理される
- ADGroup:Default
- VMの包含基準が設定されている場合に、ADグループのVDI VMに適用され、ユーザーログオンを必要とせずにVDI VMにデフォルトのルールセットを適用できるようにする
参考情報:Flow 5.19 - Built-In Categories for Security Policies
Nutanix Flow検証手順
Nuranix Flowの検証は以下の手順により実施します。
- Prism Centralのデプロイ
- Nutanix Flowの設定
- Nutanix Flowの利用
- Nutanix Flowの動作確認
Prism Centralのデプロイ
Nutanix FlowはPrism Centralの機能であるため、Prism Centralのデプロイが必須となります。
Prism Centralのイメージファイルは以下のURLにアクセスし入手します。
https://portal.nutanix.com/page/downloads?product=prism
Prism Centralのデプロイは以下のURLの手順を参考にデプロイします。
https://blog.jbs.co.jp/entry/2024/05/27/084501
Flowの設定
本検証では環境の隔離について動作検証をします。
下図の[Launch]をクリックし、Prism Centralへアクセスします。
SSL証明書の確認画面が表示されるため、キーボードから「thisisunsafe」と入力します。
ユーザー名、パスワードを入力しログインします。
- 1の画面
- ユーザー:admin
- パスワード:nutanix/4u
- 2の画面(パスワードの再設定)
- ユーザー名:admin
- 新パスワード:任意のパスワード
- 再パスワード:任意のパスワード
- 3の画面
- ユーザー名:admin
- パスワード:再設定したパスワード
以下の項目を入力し、[Accept]をクリックします。
- Name:taro
- Company:taro company
- Job Title:engineer
今回はPulseの設定をしないため、[Disable Pulse]にチェックを入れ、[Continue]をクリックします。
以下の画面のようにダッシュボードが表示されることを確認します。
左上のタブから[Prism Central Settings]-[Flow]-[マイクロセグメンテーション]の順にクリックし、マイクロセグメンテーションの有効化にチェックし、[保存]をクリックします。
カテゴリから[APP Type]をクリックします。
[APP Type]のページから[更新]をクリックします。
仮想マシンへ割り当てるAPP Typeを作成します。必要なカテゴリ名を入力し、[保存]をクリックします。
セキュリティから[Create Security Policy]をクリックし設定ウィザードを表示し、[isolatation]にチェックし[Create]をクリックします。
下記の項目をそれぞれ入力し、[Save and Monitor]をクリックします。
- Name :
- 分離ポリシーの名前を入力する
- Purpose:
- 分離ポリシーの目的を説明する
- From this category:
- 他のカテゴリの名前を選択する
- Policy Hit logs:
- 必要に応じてポリシールールのトラフィックフローヒットをログに記録することができる
ポリシーが作成されていることを確認します。
任意のVMに対して作成したAPP Typeを関連付けます。VMリストから仮想マシンを選択し[カテゴリーを管理]をクリックします。
仮想マシン二台にそれぞれ作成したApp typeを関連付け、[保存]をクリックします。
※ 画像の例ではCentOS 8(Web Server)とWindows Server 2022に関連付けをしています。
Flowの動作確認
セキュリティタブから作成したポリシーをクリックし、ステータスが「Monitoring」になっていることを確認します。
ポリシーがMonitoringの状態であると、App Typeを関連付けたVM同士の通信は正常であることがわかります。
Webアクセスできることを確認できました。
続いて[Enforce]をクリックし、ポリシーを有効にします。
再度動作確認をします。pingでの疎通が出来なくなっています。
同様に、httpでのアクセスも遮断されています。
ポリシーを有効化したことにより、それぞれの仮想マシンがフィルタリングされ、pingでの疎通やhttpでのアクセスが遮断されていることが確認できました。
最後に
Nutanix CE でのFlow設定・動作確認は以上となります。
今回は、isolate(環境の分離)のポリシーを適用することで、全てのプロトコルをフィルタリングしましたが、Secuer Applications(アプリケーションの保護)を使用することで、フィルタリングするプロトコルを細かく設定することもできます。
濱本 夢人(日本ビジネスシステムズ株式会社)
クラウドソリューション本部所属。主にHCI製品(Azure Stack HCI、Nutanix、vSAN etc)、仮想基盤、Switchの構築を担当しています。趣味はラーメン、つけ麺巡りです。
担当記事一覧