Nutanix Meetup Hybrid 23.03の資料です。
AOS 6.6のご紹介Nutanix JapanシニアソリューションエンジニアHiroki ItoTwitter : @hiroito1118
View Slide
【おさらい】Nutanix AOSのサポート期間Nutanix AOSは、長期サポートを提供するLTSでは、1-2年程度のサポートが提供されるAOS 2 3 4 5 6 7 8 9 10 11 12 1 2 3 4 5 6 7 8 9 10 115.20 LTS6.0 STS6.1 STS6.5 LTS6.6 STS…Next LTS LTS20232022Maintenance (サポート提供+パッチ提供) / Support (サポート提供) / EoSL (サポート終了)※ 6.5 LTS及び6.6 STS のMaintenance終了とEOSL時期はイメージです。次期バージョンのリリース後、正式な終了日が決定となります。次期LTSのリリース時期はイメージで、具体的な時期を指し示すものではございません。+ STS・・・3-6ヶ月おきにリリース、次期STSのリリースでMaintenance終了、さらに3ヶ月でSupport終了+ LTS・・・12-15ヶ月おきにリリース、次期LTSのリリース後3ヶ月でMaintenance終了、さらに9ヶ月でSupport終了(詳細なポリシーはKB5505を、各リリースごとの正確なサポートスケジュールはEOL Informationを参照)※※※※今回ココ
AOS 6.6 STSリリースアナウンスサマリAOS 6.6 Short Term Release (STS) のリリースと共に改善されたデータサービス、ネットワーク、セキュリティAHV データサービス ネットワーク & セキュリティ• Linuxカーネルとハイパーバイザーコンポーネントのアップデート• Intel および AMD ベースのサーバー両方でのコンピュートの性能改善• Windows 11での vTPMのサポートとセキュリティの改善• シリアルポート経由でのNutanixゲストツール(NGT)でセキュリティを改善• RF2の仮想マシン単位でのポリシーとコンプライアンスレポート• RDMA管理のシンプル化• RDMA と Zero Touch RoCE• NearSyncレプリケーションの改善• PCでのポリシーベースのVolumeGroupとConsistency Group保護• インラインのイレイジャーコーディング• 重複排除の改善 (Map3)• キャパシティプランニングの更新でインテリジェントな運用• DRのネットワークセグメント化• ネットワークのRole-Based AccessControl (RBAC)• Flow Virtual NetworkingのBGPゲートウェイ• UVMからのSwitch Port Analyzer(SPAN)へのポートミラーリング• Prism Security Dashboard• セキュリティ要塞化• Nutanix脆弱性データベースと統合• 可視化と統制| 3
AHV 8
新しいLinuxカーネルとオープンソースハイパーバイザーコンポーネント| 5これは何?• AHVはオープンソースのLinuxコンポーネントをベースに実装されている。このリリースでは以下の最新の安定版upstreamコンポーネントが統合されている:– Libvirt 6.0.0– QEMU 4.2.0– AHV Linux Kernel 5.10何を行い、どんな効果が?• Upstreamのバグフィックスを含む• Intel Icelake ハードウェアをサポート• vTPMサポートの有効化AHVはオープンソースの基板上に実装されており、NutanixエンジニアはコアLinuxコンポーネントの成熟度と安定性を活用し、先進的なエンタープライズ仮想化機能の開発にフォーカスできる。
パフォーマンスの最適化 | 6これは何?• いくつかの著しい最適化でコンピュートのパフォーマンスを改善:– Intelベースのシステムでコンテクストスイッチによるオーバーヘッドを削減– Intel および AMDベースのシステムにおけるOpenvSwitchや他のサービスからの不必要な割り込みを減らすことによるアイドルポーリングの改善何を行い、どんな効果が?• 特に以下のような状況で効果を発揮:- 超大規模、超高密度システム (例:超多コア、数百の仮想マシン)- レイテンシが重要なワークロード (例: Epic / SAP等)AOS Storageを管理しているNutanix CVMは仮想マシンの隣で動作している、つまり、コンピュートのパフォーマンスの向上はストレージパフォーマンスの向上にもつながる。~12-15%ランダム 8K のWriteの改善~8%ランダム 8K のReadの改善~2-3%シーケンシャル 1MBのRead/Writeの改善コアストレージ (X-Rayで計測)9%初回の単独セッションの応答時間の改善 (VSIbase)エンドユーザーコンピューティング (LoginVSIで計測)22%固定しきい値における統合率の改善 (fixed VSImax)
AHV上のWindows 11でvTPMのサポートを有効化 | 7これは何?• プラットフォーム信頼性モジュール(Trusted PlatformModule - TPM)は暗号化機能を提供するハードウェアコンポーネントで、ファームウェア攻撃に対するセキュリティを向上させる。vTPM は仮想マシン向けの仮想化されたTPM実装。• TPMはWindows 11のサポートの必須要件何を行い、どんな効果が?• Upstreamのバグフィックスを含む• Intel Icelake ハードウェアをサポート• vTPMのサポートを有効化プラットフォーム信頼性モジュール(Trusted Platform Module–TPM)は以下の暗号化運用を実現するセキュア暗号処理装置:• 暗号鍵の生成、保存、利用の制限• 固有のRSA鍵によってTPMを認証• セキュリティについての評価を行い、保存 (ブートコードなど)AOS6.5.1以降でも利用可能
NVIDIAドライバーのアップグレードをLCMがサポート | 8これは何?• Nutanix LCM 2.5とAHV 8で、ホストドライバーjのアップデートはAHVのアップグレードに統合された何を行い、どんな効果が?• これまでAHVホスト上でのNVIDIAのvGPUのためのホストドライバーのアップデートにはコマンドラインでのドライバーのアンインストール/インストール手順が必要であった
シリアル経由のNutanix Guest Tools (NGT) | 9これは何?• この機能はNGTをシリアル経由の作動を実現します。これによって幅広いセキュリティについての懸念とユーザー仮想マシン(UVM)とコントローラー仮想マシン(CVM)間のIPベースの通信を取り除くことができる何を行い、どんな効果が?:• 新しいシリアルベースの通信はより簡単でセキュア以下が実現する:– CVMネットワークとUVMネットワークの隔離– ゲスト内の認証なく、ハイパーバイザーによる仮想マシンの認証が保証されるAHVHostUVM1Serial PortqemuAHV GatewayCVMNGT Server• AOS 6.6以前は、NGTはIPベースの手法でのみ通信が行われており、これによってUVMとCVM間の通信経路が必須となっていた。• UVMにはNGT 3.0をインストールまたは3.0へのアップグレードが必要となる。別セッションあるので、詳細はそちらで
データサービス
RF2を含む仮想マシン単位のポリシーとコンプライアンスレポート| 11これは何?• 仮想マシン単位のストレージ構成を実現するポリシーベースのマルチクラスターストレージ構成管理機能何を行い、どんな効果が?:• AOS 6.6 で実現:– レプリケーションファクタ (RF) がポリシーで管理できるように– ストレージポリシーのコンプライアンスレポートがPrism Central 2022.9で可能に• それぞれのクラスタのストレージコンテナの構成を気にすることなくワークロードをクラスタ間で移動させる• この機能はAOS 6.1でリリースされた機能を横展開したものです。6.1では以下についてのそれぞれの仮想マシンまたは仮想マシンのグループに対して、管理者が設定・管理を行うためのストレージポリシーの機能が搭載されました:• 暗号化• 圧縮• QoS (転送レート制限)構成のオプションとコンプライアンスの例を表示したスクリーンショットPrism Central
RF2を含む仮想マシン単位のポリシーとコンプライアンスレポート| 12この新機能はストレージ構成をシンプル化する (ストレージポリシーでマルチクラスタへフォーカス)StorageConfig1StorageConfig2Cluster-1StorageConfig1StorageConfig2Cluster-2Applied viacategoriesStorage Policy-1Storage Policy-2Cluster-1Cluster-2Cluster-3Prism CentralRF2 と コンプライアンスが含まれるようになりました!• ストレージポリシーがない場合、それぞれのクラスタにそれぞれのストレージ構成を行う必要があるPrism Central
RDMA管理のシンプル化 | 13これは何?• RDMAのセットアップについてさらなるオプションと、プロセスのシンプル化を提供何を行い、どんな効果が? :• 6.6ではこれまでと変わらず、Foundation時のセットアップに加え、あとからも設定ができるようになった• RDMAが有効化された場合、ポートはRF2トラフィック向けに専有• 6.6以前はRDMAはFoundation中にしかセットアップできなかった
NearSyncレプリケーションの改善 | 15これは何?• アップデートでお客様に20秒の復元目標時点(RPO)を提供できるようになった(vStoreのみ)何を行い、どんな効果が? :• RPOを改善しようというお客様向けに、NearSyncレプリケーションを20秒のRPOまで設定できるようにした• 保護ポリシー内で、1-15分の間に設定されたすべてのRPOは20秒のRPOで処理される• 6.6以前は、NearSyncのRPOは1分だった• RPOは障害発生後に、どの時点までのデータを復元できるかという時点。 20秒のRPOとは障害の20秒前までのデータを復元できるという意味。
Prism Centralでのポリシーベースのボリュームグループ (VG) と一貫性グループ (CG) 保護管理| 16これは何?• Consistency Group(CG)とVolume Group(VG)レプリケーションをPrism Centralへと移動することで、統合管理エクスペリエンスを提供何を行い、どんな効果が? :• 6.6ではConsistency Group(CG) と volume group (VG) レプリケーションと disaster recovery (DR) 管理を Prism Central(PC) へと移動させ、完全にエンティティ単位でのDRワークフローを実現する統合されたポリシーベースのエクスペリエンスを提供• 6.6以前は、この機能は以前からあるProtection Domain(保護ドメイン)には含まれていたが、構成にはPrism Element(単独クラスタだけを設定できる)を利用していた。Prism Central内で実装を行うことで、この機能を単独インターフェイスで複数のクラスタで活用できるようにし、エンタープライズで利用しやすくした。Prism Central内での Volume Groupの 保護管理:の例:Prism Central内での Volume Groupの 復元の例 :Prism Central
インラインイレイジャーコーディング | 17これは何?• インラインイレイジャーコーディングはObjectsワークロードのようなWrite Once Read Many(WORM)タイプのワークロードに対して、データローカリティを維持したまま、より高速なECによる削減効果を実現する何を行い、どんな効果が? :• インラインイレイジャーコーディングは追加のコピーデータの書き込みを行わないことで、Writeアンプリフィケーションを発生させない。すべてのデータがパリティ計算&ストライプ時に書き込まれる。• この機能はお客さまのデータをそのデータを提供しているノード内に維持する(データローカリティ)。これは復元が必要な際などのネットワーク競合の発生緩和し、一方でデータの提供スピードも高速化する。• インラインイレイジャーコーディングはNutanix Objectsでバックアップワークロードを利用する際に非常に効果的from www.nutanixbible.com
ネットワーク
Nutanix Disaster Recovery(旧 Leap)でのネットワークセグメント化これは何?• この機能は災害復旧(DR)のレプリケーショントラフィックをセグメント化された別のVLAN(VLANベースのセグメント化)もしくは別の物理NICへと分離することができる• 以前からProtection Domainベースでは実装可能であったが、今回Disaster Recovery(旧 Leap)機能でも対応したもの何を行い、どんな効果が? :• 6.6ではDRのセキュリティ向上を行いました、 セキュリティ目的のためトラフィックのセグメント化を行います• DRトラフィックをセグメント化することで、仮想マシンが利用するNIC上でのネットワーク競合を低減することができますPrism Central
ネットワークのRole-Based Access Control (RBAC)これは何?• ネットワークのRole-based access Control (RBAC) はユーザーのロールの必要な責任範囲のみの範囲や機能にアクセスを限定する際に利用される• RBACにってマルチテナントとユーザーのアクセスコントロールとタイプをカスタマイズすることができる何を行い、どんな効果が? :• ユーザーのロールに必要な管理者アクセスのみに制限し、セキュリティ統制を改善• 様々なITのルール、管理者、ユーザーにおける権限の移譲を実現• VPC向けのマルチテナンシー:• VPCテナントの管理者アクセスをVPC内のリソースへのアクセスだけに隔離する• VPCテナント内での組織内での権限移譲を実現新たなRBACロールのスクリーンショット:ネットワークのRBACはサービスプロバイダー、部門単位での管理権限の移譲が必要な場合に大きな効果を発揮するPrism Central
Flow Virtual NetworkingのBGPゲートウェイこれは何?• BGPゲートウェイは動的なルーティングの交換とVPC、インフラストラクチャールーター間の情報の交換に利用できる、こうした接続先は自律システムとして定義される何を行い、どんな効果が? :• VPC向けの動的ルーティング機能– BGPはVPCとネットワークインフラ間のルーティングの交換を自動化する– 成熟した、幅広く利用、展開されているスタンダードベースのプロトコル– 変化し続けるネットワーク・トポロジーに動的に適応、マニュアルでの介入なく迅速な成長や変更に追従– VPCレベルでどのネットワークを広報するかコントロール (すべてのVPCネットワークで必須ではない)• この改善によって以下のような静的に構成されたルーティングへの依存度を下げることができる:– 時間のかかる、手順の多い構成と管理– 構成のエラーが発生– 動的なルーティングプロトコルよりも拡張性にかける– ルーティングのレジリエンシーが低い、変更や障害に対応できない• VPC向けのBGPゲートウェイはVCPのデータパス内で動作しないBGP (Border Gateway Protocol) はスタンダードベースの広く展開された動的なルーティングプロトコルSimple to Create:Prism Central
Switch Port Analyzer (SPAN) ポートミラーリングこれは何?• Switch Port Analyzer (SPAN) はポートミラーリングの機能を提供します。この機能はさらなるネットワークについての可視性を追加します。何を行い、どんな効果が? :SPAN ポートミラーリングは以下を提供します:• ネットワークの可視性とセキュリティ• 6.6ではソースとしてUVMのトラフィックをキャプチャします• セキュリティ分析の中でVDIマシンのデータの記録• トラブルシューティングとコンプライアンス• Gigamon、Darktrace、Netscoutなどのモニタリングルール仮想マシンに対してトラフィックを送信し、きめ細やかなネットワークの洞察を行える• AOS 6.0ではSPANの最初の機能として物理NICインターフェイスまたはボンドをソースとした、仮想マシンを宛先とするSPANを実装、今回の機能はそれに続く
セキュリティ
Prism Security Dashboard | 26これは何?• Prism Security Dashboardは新たなPrism CentralのUIで、セキュリティの可視化とUIによる統制を提供。以前はAOSのCLI機能として提供していた。何を行い、どんな効果が? :• Nutanixのコアインフラ/ AOSセキュリティのサマリ表示を提供– 他のウィジェットから発生している問題のすべてを集約/集計• 新しいAOSセキュリティをコントロールするPrismUI– 以前は隠れていた設定を表示– パスワードの強靭さ– AIDE– 要塞化• STIGの統制チェック• 脆弱性Prism Security Dashboard は脆弱性を特定し、脆弱なCVEに対するパッチも推奨!Prism Central
Security Dashboard または Security Central? | 27Nutanix Security CentralPrism Security Dashboardいずれも利用できます。それぞれ目的が異なるのです!• 新たなPrism Security DashboardはAOSをセキュアにするためのもので、NCIライセンスに含まれます• Nutanix Security Centralはオンプレミスのアプリケーション、仮想マシン、そしてクラウドのレポートとコンプライアンスに利用します
セキュリティ要塞化• 忘れているかもしれない設定を確認• 不要なタイルは隠すことができる• 以下の状況の確認と1-クリックで有効化:• 高い強度を持つパスワード• AIDE• SCMAの間隔• クラスタのロックダウン• Defense Consent Banner• 状況の確認とドキュメントへのリンク:• ホストセキュアブート• ネットワークセグメンテーション• TCP Wrapper• Log Forwarding行いたい設定をPrismですぐに実施!Prism Central
脆弱性• Nutanix脆弱性データベースと統合• 現在のAOSのCVE状況をレポート• アップグレードのためにLCMへリンク• データベースはPrism Centralのアップグレードでアップデート| 29
Thank you
mf_recruitment_pr
dsm_recruit
eviryr_recruit
leverages
joaoasrosa
hrfr84
miibio
beglobal_document
clinics_medley
cyberagent_recruit
centered
contrea_0123
destraynor
quramy
maggiecrowley
matthewcrist
trallard
jensimmons
lara
andyhume
zakiwarfel
erikaheidi
holman
tanoku