Nutanix AOS6.6のご紹介

Transcript

1. AOS 6.6のご紹介 Nutanix Japan シニアソリューションエンジニア Hiroki Ito Twitter : @hiroito1118

2. 【おさらい】Nutanix AOSのサポート期間 Nutanix AOSは、長期サポートを提供するLTSでは、1-2年程度のサポートが提供される AOS 2 3 4 5 6

   7 8 9 10 11 12 1 2 3 4 5 6 7 8 9 10 11 5.20 LTS 6.0 STS 6.1 STS 6.5 LTS 6.6 STS … Next LTS LTS 2023 2022 Maintenance (サポート提供＋パッチ提供) / Support (サポート提供) / EoSL (サポート終了) ※ 6.5 LTS及び6.6 STS のMaintenance終了とEOSL時期はイメージです。 次期バージョンのリリース後、正式な終了日が決定となります。 次期LTSのリリース時期はイメージで、具体的な時期を指し示すものではございません。 + STS・・・3-6ヶ月おきにリリース、次期STSのリリースでMaintenance終了、さらに3ヶ月でSupport終了 + LTS・・・12-15ヶ月おきにリリース、次期LTSのリリース後3ヶ月でMaintenance終了、さらに9ヶ月でSupport終了 (詳細なポリシーはKB5505を、各リリースごとの正確なサポートスケジュールはEOL Informationを参照) ※ ※ ※ ※ 今回 ココ

3. AOS 6.6 STSリリースアナウンスサマリ AOS 6.6 Short Term Release (STS) のリリースと共に改善されたデータサービス、ネットワーク、セキュリティ

   AHV データサービス ネットワーク & セキュリティ • Linuxカーネルとハイパーバイザーコンポ ーネントのアップデート • Intel および AMD ベースのサーバー両方 でのコンピュートの性能改善 • Windows 11での vTPMのサポートとセ キュリティの改善 • シリアルポート経由でのNutanixゲストツ ール(NGT)でセキュリティを改善 • RF2の仮想マシン単位でのポリシーと コンプライアンスレポート • RDMA管理のシンプル化 • RDMA と Zero Touch RoCE • NearSyncレプリケーションの改善 • PCでのポリシーベースのVolume GroupとConsistency Group保護 • インラインのイレイジャーコーディン グ • 重複排除の改善 (Map3) • キャパシティプランニングの更新でイ ンテリジェントな運用 • DRのネットワークセグメント化 • ネットワークのRole-Based Access Control (RBAC) • Flow Virtual NetworkingのBGPゲート ウェイ • UVMからのSwitch Port Analyzer (SPAN)へのポートミラーリング • Prism Security Dashboard • セキュリティ要塞化 • Nutanix脆弱性データベースと統合 • 可視化と統制 | 3

4. AHV 8

5. 新しいLinuxカーネルと オープンソースハイパーバイザーコンポーネント | 5 これは何? • AHVはオープンソースのLinuxコンポーネントをベース に実装されている。このリリースでは以下の最新の安 定版upstreamコンポーネントが統合されている: –

   Libvirt 6.0.0 – QEMU 4.2.0 – AHV Linux Kernel 5.10 何を行い、どんな効果が? • Upstreamのバグフィックスを含む • Intel Icelake ハードウェアをサポート • vTPMサポートの有効化 AHVはオープンソースの基板上に実装されており、NutanixエンジニアはコアLinuxコンポーネントの成熟度と安定性を活 用し、先進的なエンタープライズ仮想化機能の開発にフォーカスできる。

6. パフォーマンスの最適化 | 6 これは何? • いくつかの著しい最適化でコンピュートのパフォーマンス を改善: – Intelベースのシステムでコンテクストスイッチによ るオーバーヘッドを削減

   – Intel および AMDベースのシステムにおけるOpen vSwitchや他のサービスからの不必要な割り込みを減 らすことによるアイドルポーリングの改善 何を行い、どんな効果が? • 特に以下のような状況で効果を発揮: - 超大規模、超高密度システム (例：超多コア、数百 の仮想マシン) - レイテンシが重要なワークロード (例: Epic / SAP等) AOS Storageを管理しているNutanix CVMは仮想マシンの隣で動作している、つまり、コンピュートのパフォーマンスの 向上はストレージパフォーマンスの向上にもつながる。 ~12-15% ランダム 8K のWriteの改善 ~8% ランダム 8K のReadの改善 ~2-3% シーケンシャル 1MBの Read/Writeの改善 コアストレージ (X-Rayで計測) 9% 初回の単独セッションの応答時間の改善 (VSIbase) エンドユーザーコンピューティング (LoginVSIで計測) 22% 固定しきい値における統合率の改善 (fixed VSImax)

7. AHV上のWindows 11でvTPMのサポートを有効化 | 7 これは何? • プラットフォーム信頼性モジュール(Trusted Platform Module -

   TPM)は暗号化機能を提供するハードウェアコ ンポーネントで、ファームウェア攻撃に対するセキュ リティを向上させる。vTPM は仮想マシン向けの仮想 化されたTPM実装。 • TPMはWindows 11のサポートの必須要件 何を行い、どんな効果が? • Upstreamのバグフィックスを含む • Intel Icelake ハードウェアをサポート • vTPMのサポートを有効化 プラットフォーム信頼性モジュール(Trusted Platform Module–TPM)は以下の暗号化運用を実現するセキュア暗号処理装置: • 暗号鍵の生成、保存、利用の制限 • 固有のRSA鍵によってTPMを認証 • セキュリティについての評価を行い、保存 (ブートコードなど) AOS6.5.1以降でも利用可能

8. NVIDIAドライバーのアップグレードをLCMがサポート | 8 これは何? • Nutanix LCM 2.5とAHV 8で、ホストドライバ ーjのアップデートはAHVのアップグレードに

   統合された 何を行い、どんな効果が? • これまでAHVホスト上でのNVIDIAのvGPUの ためのホストドライバーのアップデートには コマンドラインでのドライバーのアンインス トール/インストール手順が必要であった

9. シリアル経由のNutanix Guest Tools (NGT) | 9 これは何? • この機能はNGTをシリアル経由の作動を実現します。こ れによって幅広いセキュリティについての懸念とユーザ

   ー仮想マシン(UVM)とコントローラー仮想マシン(CVM)間 のIPベースの通信を取り除くことができる 何を行い、どんな効果が?: • 新しいシリアルベースの通信はより簡単でセキュア 以下が実現する: – CVMネットワークとUVMネットワークの隔離 – ゲスト内の認証なく、ハイパーバイザーによる仮想 マシンの認証が保証される AHV Host UVM1 Serial Port qemu AHV Gateway CVM NGT Server • AOS 6.6以前は、NGTはIPベースの手法でのみ通信が行われており、これによってUVMとCVM間の 通信経路が必須となっていた。 • UVMにはNGT 3.0をインストールまたは3.0へのアップグレードが必要となる。 別セッションあるので、詳細はそちらで

10. データサービス

11. RF2を含む仮想マシン単位のポリシーと コンプライアンスレポート | 11 これは何? • 仮想マシン単位のストレージ構成を実現するポリ シーベースのマルチクラスターストレージ構成管 理機能 何を行い、どんな効果が?:

    • AOS 6.6 で実現: – レプリケーションファクタ (RF) がポリシー で管理できるように – ストレージポリシーのコンプライアンスレ ポートがPrism Central 2022.9で可能に • それぞれのクラスタのストレージコンテナの構成 を気にすることなくワークロードをクラスタ間で 移動させる • この機能はAOS 6.1でリリースされた機能を横展開したものです。6.1では以下についてのそれぞれの仮想マシンまた は仮想マシンのグループに対して、管理者が設定・管理を行うためのストレージポリシーの機能が搭載されました: • 暗号化 • 圧縮 • QoS (転送レート制限) 構成のオプションとコンプライアンスの例を表示したスクリーンショット Prism Central

12. RF2を含む仮想マシン単位のポリシーと コンプライアンスレポート | 12 この新機能はストレージ構成をシンプル化する (ストレージポリシーでマルチクラスタへフォーカス) Storage Config1 Storage Config2

    Cluster-1 Storage Config1 Storage Config2 Cluster-2 Applied via categories Storage Policy-1 Storage Policy-2 Cluster-1 Cluster-2 Cluster-3 Prism Central RF2 と コンプライア ンスが含まれるよう になりました! • ストレージポリシーがない場合、それぞれのクラスタにそれ ぞれのストレージ構成を行う必要がある Prism Central

13. RDMA管理のシンプル化 | 13 これは何? • RDMAのセットアップについてさらなるオプションと、プロセスのシン プル化を提供 何を行い、どんな効果が? : •

    6.6ではこれまでと変わらず、Foundation時のセットアップに加え、あと からも設定ができるようになった • RDMAが有効化された場合、ポートはRF2トラフィック向けに専有 • 6.6以前はRDMAはFoundation中にしかセットアップでき なかった

14. NearSyncレプリケーションの改善 | 15 これは何? • アップデートでお客様に20秒の復元目標時点(RPO)を提供でき るようになった(vStoreのみ) 何を行い、どんな効果が? : •

    RPOを改善しようというお客様向けに、NearSyncレプリケー ションを20秒のRPOまで設定できるようにした • 保護ポリシー内で、1-15分の間に設定されたすべてのRPOは20 秒のRPOで処理される • 6.6以前は、NearSyncのRPOは1分だった • RPOは障害発生後に、どの時点までのデータを復元できるかと いう時点。 20秒のRPOとは障害の20秒前までのデータを復元で きるという意味。

15. Prism Centralでのポリシーベースの ボリュームグループ (VG) と一貫性グループ (CG) 保護管理 | 16 これは何?

    • Consistency Group(CG)とVolume Group(VG)レプリケーショ ンをPrism Centralへと移動することで、統合管理エクスペリ エンスを提供 何を行い、どんな効果が? : • 6.6ではConsistency Group(CG) と volume group (VG) レプ リケーションと disaster recovery (DR) 管理を Prism Central (PC) へと移動させ、完全にエンティティ単位でのDRワーク フローを実現する統合されたポリシーベースのエクスペリエ ンスを提供 • 6.6以前は、この機能は以前からあるProtection Domain(保護ドメイン) には含まれていたが、構成にはPrism Element(単独クラスタだけを設 定できる)を利用していた。Prism Central内で実装を行うことで、この 機能を単独インターフェイスで複数のクラスタで活用できるようにし 、エンタープライズで利用しやすくした。 Prism Central内での Volume Groupの 保護管理:の例： Prism Central内での Volume Groupの 復元の例 ： Prism Central

16. インラインイレイジャーコーディング | 17 これは何? • インラインイレイジャーコーディングはObjectsワークロードのよ うなWrite Once Read Many(WORM)タイプのワークロードに対し

    て、データローカリティを維持したまま、より高速なECによる削 減効果を実現する 何を行い、どんな効果が? : • インラインイレイジャーコーディングは追加のコピーデータの書き 込みを行わないことで、Writeアンプリフィケーションを発生させ ない。すべてのデータがパリティ計算＆ストライプ時に書き込まれ る。 • この機能はお客さまのデータをそのデータを提供しているノード内 に維持する(データローカリティ)。これは復元が必要な際などのネ ットワーク競合の発生緩和し、一方でデータの提供スピードも高速 化する。 • インラインイレイジャーコーディングはNutanix Objectsでバックアップワークロードを利用する 際に非常に効果的 from www.nutanixbible.com

17. ネットワーク

18. Nutanix Disaster Recovery(旧 Leap)での ネットワークセグメント化 これは何? • この機能は災害復旧(DR)のレプリケーショントラフィックをセグメ ント化された別のVLAN(VLANベースのセグメント化)もしくは別の 物理NICへと分離することができる

    • 以前からProtection Domainベースでは実装可能であったが、今回 Disaster Recovery(旧 Leap)機能でも対応したもの 何を行い、どんな効果が? : • 6.6ではDRのセキュリティ向上を行いました、 セキュリティ目的の ためトラフィックのセグメント化を行います • DRトラフィックをセグメント化することで、仮想マシンが利用する NIC上でのネットワーク競合を低減することができます Prism Central

19. ネットワークのRole-Based Access Control (RBAC) これは何? • ネットワークのRole-based access Control (RBAC)

    はユーザーのロールの必要 な責任範囲のみの範囲や機能にアクセスを限定する際に利用される • RBACにってマルチテナントとユーザーのアクセスコントロールとタイプをカ スタマイズすることができる 何を行い、どんな効果が? : • ユーザーのロールに必要な管理者アクセスのみに制限し、セキュリティ統制を 改善 • 様々なITのルール、管理者、ユーザーにおける権限の移譲を実現 • VPC向けのマルチテナンシー: • VPCテナントの管理者アクセスをVPC内のリソースへのアクセスだけに 隔離する • VPCテナント内での組織内での権限移譲を実現 新たなRBACロールのスクリーンショット： ネットワークのRBACはサービスプロバイダー、部門単位での 管理権限の移譲が必要な場合に大きな効果を発揮する Prism Central

20. Flow Virtual NetworkingのBGPゲートウェイ これは何? • BGPゲートウェイは動的なルーティングの交換とVPC、インフラストラクチャール ーター間の情報の交換に利用できる、こうした接続先は自律システムとして定義され る 何を行い、どんな効果が? :

    • VPC向けの動的ルーティング機能 – BGPはVPCとネットワークインフラ間のルーティングの交換を自動化する – 成熟した、幅広く利用、展開されているスタンダードベースのプロトコル – 変化し続けるネットワーク・トポロジーに動的に適応、マニュアルでの介入な く迅速な成長や変更に追従 – VPCレベルでどのネットワークを広報するかコントロール (すべてのVPCネッ トワークで必須ではない) • この改善によって以下のような静的に構成されたルーティングへの依存度を下げるこ とができる: – 時間のかかる、手順の多い構成と管理 – 構成のエラーが発生 – 動的なルーティングプロトコルよりも拡張性にかける – ルーティングのレジリエンシーが低い、変更や障害に対応できない • VPC向けのBGPゲートウェイはVCPのデータパス 内で動作しない BGP (Border Gateway Protocol) はスタンダードベースの広 く展開された動的なルーティングプロトコル Simple to Create: Prism Central

21. Switch Port Analyzer (SPAN) ポートミラーリング これは何? • Switch Port Analyzer

    (SPAN) はポートミラーリングの機能を提供し ます。この機能はさらなるネットワークについての可視性を追加し ます。 何を行い、どんな効果が? : SPAN ポートミラーリングは以下を提供します: • ネットワークの可視性とセキュリティ • 6.6ではソースとしてUVMのトラフィックをキャプチャします • セキュリティ分析の中でVDIマシンのデータの記録 • トラブルシューティングとコンプライアンス • Gigamon、Darktrace、Netscoutなどのモニタリングルール仮 想マシンに対してトラフィックを送信し、きめ細やかなネッ トワークの洞察を行える • AOS 6.0ではSPANの最初の機能として物理NICインターフェイスまたはボンドをソースとした、仮 想マシンを宛先とするSPANを実装、今回の機能はそれに続く

22. セキュリティ

23. Prism Security Dashboard | 26 これは何? • Prism Security Dashboardは新たなPrism

    Centralの UIで、セキュリティの可視化とUIによる統制を提 供。以前はAOSのCLI機能として提供していた。 何を行い、どんな効果が? : • Nutanixのコアインフラ/ AOSセキュリティのサマ リ表示を提供 – 他のウィジェットから発生している問題のす べてを集約/集計 • 新しいAOSセキュリティをコントロールするPrism UI – 以前は隠れていた設定を表示 – パスワードの強靭さ – AIDE – 要塞化 • STIGの統制チェック • 脆弱性 Prism Security Dashboard は脆弱性を特定し、 脆弱なCVEに対するパッチも推奨! Prism Central

24. Security Dashboard または Security Central? | 27 Nutanix Security Central

    Prism Security Dashboard いずれも利用できます。それぞれ目的が異なるのです! • 新たなPrism Security DashboardはAOSをセキュアにするためのもの で、NCIライセンスに含まれます • Nutanix Security Centralはオンプレミスのアプリケーション、仮想マ シン、そしてクラウドのレポートとコンプライアンスに利用します

25. セキュリティ要塞化 • 忘れているかもしれない設定を確認 • 不要なタイルは隠すことができる • 以下の状況の確認と1-クリックで有効化: • 高い強度を持つパスワード •

    AIDE • SCMAの間隔 • クラスタのロックダウン • Defense Consent Banner • 状況の確認とドキュメントへのリンク: • ホストセキュアブート • ネットワークセグメンテーション • TCP Wrapper • Log Forwarding 行いたい設定をPrismですぐに実施! Prism Central

26. 脆弱性 • Nutanix脆弱性データベースと統合 • 現在のAOSのCVE状況をレポート • アップグレードのためにLCMへリンク • データベースはPrism Centralのアップ

    グレードでアップデート | 29

27. Thank you