NSX VPC と vCenter が連携したマルチテナントアクセスコントロールが可能となるビッグニュースを今回のブログでご紹介したいと思います。
前回のブログでは、NSX VPC とは何か、どんなマルチテナントネットワークが作れるのかを解説しました。これまでのリリースである NSX 4.1.1 以降でVPC がサポートされていますが、vCenter とのシームレスな連携がなくマルチテナントアクセスコントロールの課題となっていました。
NSX で VPC/テナントの形でマルチテナントのネットワークが作成・管理でき、VPC/テナントの NSX 管理者アカウントを設けることで、NSX レベルの RBAC によるマルチテナントアクセスコントロールができます。しかし、vCenter 管理者アカウントでは、VPCやProjectで作成されたポートグループに対して NSX レベルの RBAC によるマルチテナントアクセスコントロールをシームレスに提供する仕組みがありませんでした。
この課題を解決するため、今回の NSX 4.2.1 からは、VPC/テナントのセグメントの作成に連動して、vCenter では ネットワークポートグループのフォルダが自動生成される機能が追加されました。これにより、vCenter の管理者アカウントごとにも、VPC/テナントの利用権限を分けることができるようになり、シームレスなマルチテナントアクセスコントロールが可能となります。
マルチテナントアクセスコントロールとなる本連携の利用イメージは、以下のようになります。
- NSX Manager の VPC/Project の管理者:
NSX Manager UI 上で、管理者担当する VPC/Project のセグメントの作成や構成変更が可能 - vCenter の VPC/Project の管理者:
vCenter UI 上で、管理者担当する VPC/Project のセグメントのポートグループを仮想マシンに利用可能
各テナント管理者アカウントに属する構成だけが閲覧でき、各UI上で操作可能となります。
各コンポーネントの必要ソフトウェアバージョン
今回ご紹介する機能は、それぞれ以下のバージョンでご利用いただけます。
- vSphere : 8.0 u3 以降
- NSX : 4.2.1 以降
構成
本機能の解説では、以下の VPC/テナントのネットワークを構成をベースにしています。
- Project Blue T1 ゲートウェイ
- project-blue-t1-segment-01 (NSXセグメント)
- Project Blue VPC T1 ゲートウェイ
- blue-vpc-seg-01(NSX VPC セグメント)
- blue-vpc-seg-02(NSX VPCセグメント)
- Project Green T1 ゲートウェイ
- project-green-t1-segment-01 (NSXセグメント)
- Project Green VPC T1 ゲートウェイ
- green-vpc-seg-01(NSX VPC セグメント)
NSX Manager UI の自動トポロジー描画機能による表示アウトプット
動作概要と設定方法
Project Blueのテナントでは、「Project Blue VPC」が含まれています。この Project Blue のテナントは、以下のようにテナント管理の設定画面で「NSXポートグループをvCenter Server フォルダに整理する」を有効にしています。
「NSXポートグループをvCenter Server フォルダに整理する」の部分が、今回の新機能です。こちらを有効にすることで、NSX での VPC/テナントのセグメント作成に、vCenter が連動します。この機能が有効な状態で vCenter で確認すると、ネットワークのタブで「NSX Managed Folders」とその配下に NSXテナント名 (Project名)に連動した フォルダが自動生成されます。
Project Blue に関連した以下のポートグループが、各フォルダに表示されています。
親フォルダ(project-blue): テナント名
- ポートグループ フォルダ:project-blue-t1-segment-01 (NSXセグメント)
サブフォルダ(blue-vpc):VPC 名
- ポートグループ フォルダ:blue-vpc-seg-01(NSX VPC セグメント)
- ポートグループ フォルダ:blue-vpc-seg-02(NSX VPCセグメント)
動作確認
これにより、ネットワークポートグループのフォルダを使用して、vCenter でのアクセスコントロールができます。以下のデモ画面の操作のように「テナント管理者」の権限で vCenter にログインすると、担当しているリソースのみの閲覧と構成管理ができるようになります。
Project Blueのテナント管理者(BlueAdmin)は、vCenter にログインすると、担当範囲である「リソースプール」と、「ネットワークポートグループのフォルダ」のみが閲覧でき、RBAC が効いた構成管理ができることがわかります。
Project Blue に関連した以下のポートグループのみ表示されています。
親フォルダ(project-blue): テナント名
- ポートグループ フォルダ:project-blue-t1-segment-01 (NSXセグメント)
サブフォルダ(blue-vpc):VPC 名
- ポートグループ フォルダ:blue-vpc-seg-01(NSX VPC セグメント)
- ポートグループ フォルダ:blue-vpc-seg-02(NSX VPCセグメント)
次に Project Green のテナントを確認します。Project Green は「NSXポートグループをvCenter Server フォルダに整理する」がまだ有効になっていません。そのため、vCenter UI では VDS ポートグループのリストの中に Project Green のポートグループが他のポートグループと混ざって表示されています。この状態では、ネットワークポートグループのフォルダを使ったアクセスコントロールができません。下のようにテナント管理の設定画面で「NSXポートグループを vCenter Server フォルダに整理する」を有効にすることで、vCenter と連動し 下記の Project Green のポートグループ専用のフォルダが自動生成されます。
親フォルダ(project-green): テナント名
- ポートグループ フォルダ:project-green-t1-segment-01 (NSXセグメント)
サブフォルダ(green-vpc):VPC 名
- ポートグループ フォルダ:green-vpc-seg-01(NSX VPC セグメント)
このように、NSX Manager と vCenter との間で VPC/テナント情報がシームレスに連動し、vCenter のフォルダへのアクセス権限を指定することで、マルチテナントアクセスコントロールが容易にできるようになりました。各管理者アカウントに属する構成だけが閲覧でき、ネットワーク管理者・仮想サーバ管理者それぞれの管理 UI 上で、テナント分離された環境が操作可能であることがご理解いただけたのではないでしょうか。
まとめ
今回のリリースをもって、NSX VPC と vCenter とでマルチテナントアクセスコントロールを実現させることができるようになりました。NSX では設計時に必要な NSX テナント (Project) を作成し、vCenter ではネットワークポートグループ フォルダにアクセスコントロールを加えることで、RBAC が効いた IaaS テナント管理が実現できます。
ネットワーク管理者は NSX を用いてテナントネットワークを管理し、仮想サーバ管理者はvCenterを用いてテナントのマシンを管理する、といったテナント分離された仮想化環境を容易に構築し、分離された運用までもがこれまでのツールだけでできるようになります。
最後に、本ブログが皆様の VPC の概念を追加した次世代のプライベートクラウドのネットワーク設計や運用に役立つ情報となれば幸いです。
ご一読いただき、ありがとうございました。
