LTN Blog 〜 Lenovo Technology Network 〜

レノボのソリューション・サーバー製品に関する技術情報、お役立ち情報をお届けします

Nutanix FLOWについて【第二弾】

皆さん、こんにちは レノボ・エンタープライズ・ソリューションズ 小宮です。

本日はFLOWについてのご説明をしたいと思います。以前記事の中で取り上げたのですが、マイクロセグメンテーションの機能に思われるところがありましたので、今回はもう少し内容を説明したいと思います。

 

以前FLOWに関して投稿した記事

マイクロセグメンテーション(FLOW)の詳細について~AOS5.6機能紹介~ - LTN Blog 〜 Lenovo Technology Network 〜

 

f:id:t_komiya:20181022212149p:plain

AHV仮想ネットワーキングに固有のもので、Open Virtual Switch(OVS)に基づいています。 Flowの機能を活用するためにインストールする追加のソフトウェアやコントローラはありません。

機能としては、視覚化・ポリシー決め・マイクロセグメンテーション・ネットワーキングです。

直感的でスケーラブルなソリューションでかつ1クリックで利用可能です。

 

f:id:t_komiya:20181022212744p:plain

FLOWは、アプリケーションの可視性、VM マイクロセグメンテーション(仮想マシン間のファイアウォール)、およびサービスチェイニングの3つの主要機能から構成されます。FLOWのビジョンは、包括的なSDN製品であることです。

 

FLOWの可視化

  • VM間のフローの自動検出
  • アプリケーションのトラフィックと関係を視覚化する
  • 最小のアプリケーションドメインの知識が必要

適切なアプリケーション中心のネットワークポリシーを設定するには、ワークロードの動作を完全に理解する必要があります。 Nutanix Flowは、VM間の通信をリアルタイムで視覚化し、環境に適したポリシーを簡単に設定することができます。

すべてがここから始まります。ポリシーの構築を開始するには、アプリケーションに関連するVMの基本知識のみが必要です。

FLOW マイクロセグメンテーション

  • 常時接続のステートフルVMレベルファイアウォール
  • 簡単なポリシーの作成と適用
  • App centric - ネットワークIDから切り離された
  • VM変更管理の自動更新
  • VMを変更する(新しいプロビジョニング、新しいIP、マイグレーション)場合、ポリシーはユーザーの介入なしに自動的に更新できます

マイクロセグメンテーションは、仮想マシン(VM)またはVMのグループとの間のすべてのトラフィックの詳細な制御とガバナンスを提供します。これにより、アプリケーション層または他の論理境界間の許可されたトラフィックのみが許可され、仮想環境内に伝播する高度な脅威から保護されます。

マイクロセグメンテーションは、従来の境界ファイアウォールとは異なり、特定のネットワークセグメント(VLANSなど)や識別子(IPアドレス)ではなく、VMとアプリケーションにネットワークポリシーを割り当てることができます。ポリシーは、VMライフサイクル全体を通じて自動更新され、ポリシー変更管理の負担を取り除きます。

サービスチェーン/ネットワーク機能

  • パートナーとの統合によるネットワーク機能の拡張
  • VM間で複数のサービスを接続する
  • トラフィックリダイレクションの詳細な制御

Nutanix Flow機能を拡張して、サードパーティのソフトウェアから仮想化ネットワーク機能を活用することができます。これらのサービスは、VMトラフィックとインラインで挿入され、すべてのトラフィックに対して簡単に有効にすることも、特定のネットワークトラフィックに対してのみ展開することもできます。挿入可能な一般的なネットワーク機能には、仮想ファイアウォール、ネットワーク脅威検出(IPS / IDS)、アプリケーションパフォーマンス監視(APM)、または一般的なアプリケーションネットワーク診断が含まれます。

f:id:t_komiya:20181022213320p:plain

視覚化についてはポリシーを含めて対応します。またアプリケーションレベルで視覚化するために、Netsil(今後はEpoch)を統合して機能を対応します。

f:id:t_komiya:20181022213946p:plain

FLOWはネットワークの機能とセキュリティの自動化の機能を兼ね備えております。

Webhook APIでVLANのマッピングやディスカバリを行います。LenovoのスイッチもAPIを利用することでプロビジョニングの自動化を行います。

また、アプリケーション・仮想マシンの展開もPrism Central/Calmを利用することで対応します。 

将来の対応については、VXLANの対応などがあげられます。

 

f:id:t_komiya:20181022215753p:plain

お客様がどのようなシーンでFLOWを利用するのかを考えてみましょう。

マルチクラウドによるソフトウェアな境界線であることから今までのようなアプローチでセキュリティ対策を行いとコストがかかります。

またセキュリティの攻撃やスピードも増加するなどで高価値のデータがターゲットになりますし、インフラが複雑化することでモダンなアーキテクチャを利用したり、マイクロサービス/コンテナなどの対応もしなければならない。

セキュリティのオペレーションするスタッフも手動で対応することがボトルネックなることもあり、1クリックや自動化でセキュリティ行う必要があります。

 

f:id:t_komiya:20181022221141p:plain

f:id:t_komiya:20181022221303p:plain

 

f:id:t_komiya:20181022221842p:plain

上記3つのシナリオについては、前回の記事にも記載がありますので、説明は割愛させて頂きますが、VDIのスライドについては再度説明します。

隔離ポリシーは完全なVM隔離(ネットワークなし)または管理上定義された一連のアプリケーションが隔離されたVMと通信できる「フォレンジック」にすることができます

検疫はAPIを使用して手動またはプログラムで行うことができます

インバウンドフォレンジックの例には、リモートアクセス用のSSH / RDP、パッチツール、または分析やウイルスの駆除にITが使用するその他のツールがあります

 

f:id:t_komiya:20181022222022p:plain

FLOW+マイクロセグメンテーションによってHCI(Enterprise Cloud)の保護を行うことができます。セキュリティの境界化・マイクロセグメーションによる細かい制御やスケールを実現し、セキュリティ運用を簡素化します。

f:id:t_komiya:20181022222236p:plain

最後にFLOWのポイントをまとめてきました。

 

よろしくお願い致します。