リソースプールごとのテナント分離の考え方

ここでは、リソースプールごとのテナント隔離(ローカルプール作成の必要性)の考え方について説明します。

6.6.1 サーバプール

ここでは、サーバプールのテナント分離の考え方について説明します。

異なるモデルのサーバも同じサーバプールに配置できます。

サーバの冗長化を行う場合、業務で利用するサーバ用のサーバプールと、予備サーバのプールの配置について検討してください。

・ サーバプールと予備サーバのプールを兼用

業務で利用するサーバだけでなく、予備サーバの考慮が必要です。

・ サーバプールと予備サーバのプールを分離

サーバプールはローカルプール、予備サーバのプールはグローバルプールに配置できます。

6.6.2 VMプール

ここでは、VMプールのテナント分離の考え方について説明します。

VMプールの中に異なるサーバ仮想化ソフトウェアのVMホストを配置できます。

VMホストが1つのVMプールに存在していても、仮想L-Serverは異なるテナントに配置できます。そのため、VMプールを分ける必要は ありません。

ただし、以下の場合、テナントごとにローカルのVMプールを作成してください。

・ VMwareDRSやHAなどクラスタを構成しているVMホストは、同一のテナント配下のVMプールに集約してください。異なるテナント

に分けてVMホストを登録した場合、VM管理製品の制御により、テナントを越えて仮想マシンが動作する可能性があります。

・ VMホストのセキュリティホールや負荷を考慮する場合、テナントごとにVMプールを分けて配置してください。

・ オーバーコミットを利用するVMホストと、利用しないVMホストを同時に利用する場合、VMプールを分けてください。

・ Converged FabricのデフォルトVFAB以外の仮想ファブリック(VFAB)に関連付いているテナントでVMホストを利用する場合、テナ

ントごとにVMプールを分けてください。

・ サーバツリーでサーバ切替えを設定している場合、運用サーバと予備サーバは同じVMプールに登録してください。

異なるVMプールに運用サーバと予備サーバを登録した場合、サーバ切替え後にVMプール内のサーバの表示情報が変更され ます。

6.6.3 ストレージプール

ここでは、ストレージプールのテナント分離の考え方について説明します。

異なるサーバ仮想化ソフトウェアの仮想ストレージリソースまたはディスクリソースも同じストレージプールに配置できます。

また、仮想ストレージリソースから生成されたディスクリソースと事前に作成されたディスクリソースも混在できます。

以下の場合、ストレージプールを分けて配置してください。

・ 用途に応じてストレージプールを分ける場合

・ 利用者固有の情報を保持しているため、セキュリティを考慮する場合

・ 性能を考慮する場合

・ 事前に作成したディスクリソースのうち、共有ディスクとして利用する場合

・ シン・プロビジョニングを利用する場合

・ ストレージ自動階層制御を利用する場合

6.6.4 ネットワークプール

ここでは、ネットワークプールのテナント分離の考え方について説明します。

セキュリティの観点からテナントごとにネットワークプールを分けて配置してください。

イントラネットなどテナント間でお互いに通信ができる環境では共有できます。

なお、Converged FabricでデフォルトVFAB以外の仮想ファブリック(VFAB)を使用する場合は、テナントごとにローカルのネットワーク プールを作成してください。

注意

Converged FabricのデフォルトVFAB以外のVFABを利用する場合は、以下を注意してください。

・ グローバルプールを使用してL-Platformが作成されている場合、ローカルのネットワークプールへのリソースの移動ができません。

移動を行うためにはL-Platformの削除が必要です。ローカルのネットワークプールを使用するよう設計してください。

6.6.5 アドレスプール

ここでは、アドレスプールのテナント分離の考え方について説明します。

MACアドレスとWWN

MACアドレスとWWNはアドレスプールで混在できます。ただし、サーバやサーバ仮想化ソフトウェアの種別により必要なリソースが異 なるため、異なるサーバを管理する場合、アドレスプールを分ける方が管理が簡単です。サーバプールの分け方と合わせることをお薦 めします。

表6.4 サーバの種別ごとに必要なアドレスセットリソース

MACアドレス WWN

ブレードサーバ(VIOMが必要) ○ ○

ラックマウント型サーバ(VIOMが必要) ○ ○

ラックマウント型サーバ(HBA address renameが必要) × ○

○: 必要

×: 不要

表6.5 サーバ仮想化ソフトウェアの種別ごとに必要なアドレスセットリソース

MACアドレス WWN

RHEL5-Xen、KVM、Citrix Xen ○ ×

MACアドレス WWN

RHEL5-Xen、KVM、Citrix Xen以外 × ×

○: 必要

×: 不要

以下の場合はアドレスプールを分けてください。

・ テナントごとにLANを分け、ファイアーウォールなどにMACアドレスを登録する場合

・ テナントごとにSANを分け、ファイバーチャンネルスイッチのゾーニングにWWNを設定する場合

・ ライセンス認証などでMACアドレスを意識するソフトウェアを利用する場合

注意

複数のアドレスセットを作成する場合、アドレスセット間でアドレスの範囲が重ならないように設計してください。

同一のLANまたはSANネットワーク上において、アドレスが重なった場合、正しく通信ができなくなったり、同一ボリュームアクセスによっ てデータが破損する危険性があります。

やむを得ず、MACアドレス範囲が重なるアドレスセットを作成する必要がある場合、以下のようなシステム設計を行い、同一LANネット ワーク上でMACアドレスが重複しないよう十分注意してください。

・ ネットワークのセグメント(VLAN)を分離

・ 払い出すMACアドレスが重複しないように除外範囲を設定

グローバルIPアドレス

簡単設定モードによるネットワークデバイスへの自動設定において、ファイアーウォールのアドレス変換機能で利用する仮想IPアドレス (公開アドレス)を管理し、自動払い出しを行なう場合、仮想IPアドレスをテナント毎に割り当てる必要があるため、テナント毎にアドレス プールを分離する必要があります。

表

ネットワークデバイスの自動設定モードごとに必要なアドレスセットリソース

ネットワークデバイスの自動設定 公開IPアドレスの自動払い出し GIPアドレス

簡単設定モード する ○

しない ×

ユーザーカスタマイズ 不可 ×

○: 必要

×: 不要

6.6.6 イメージプール

ここでは、イメージプールのテナント分離の考え方について説明します。

テナントに依存しないOSだけのイメージの場合、イメージプールを分ける必要はありません。

テナント固有の情報をもつイメージはテナントごとにイメージプールを分ける必要があります。

テナント固有のアプリケーションの設定を行ったあとに採取したイメージは、テナントのローカルプールに配置するなどの運用を行って ください。