第9章 ネットワーク環境の決定と設定
9.1 ネットワーク環境の決定
9.1.3 業務 LAN と iSCSI LAN の物理ネットワークの設計
L-Serverの設計
L-Platformを構成する物理L-Serverと仮想L-Serverでは、前提条件が異なります。
詳細は、以下を参照してください。
・ 物理L-Serverの場合
「D.1 システム構成」を参照してください。
・ 仮想L-Serverの場合
【VMware】
「E.1.1 システム構成」を参照してください。
【Hyper-V】
「E.2.1 システム構成」を参照してください。
【Xen】
「E.3.1 システム構成」を参照してください。
【OVM for x86 2.2】
「E.4.1 システム構成」を参照してください。
【KVM】
「E.5.1 システム構成」を参照してください。
【Solarisゾーン】
「E.6.1 システム構成」を参照してください。
【OVM for SPARC】
「E.7.1 システム構成」を参照してください。
【Citrix Xen】
「E.8.1 システム構成」を参照してください。
【OVM for x86 3.x】
「E.9.1 システム構成」を参照してください。
L-Platformのネットワークの設計
L-Platformのネットワークの設計は、「9.1 ネットワーク環境の決定」を参照してください。
本製品を導入する際の留意点
・ 管理対象サーバの台数は、本製品のライセンスの種類によって制限される場合があります。
制限される台数については、ライセンスに関する情報を参照してください。
制限を超える管理対象サーバを登録した場合、エラーになります。この台数には、サーバ切替えの予備サーバを含みます。また、
VMゲストは台数に含みません。
・ 管理対象サーバにはクラスタソフトウェアを導入できます。
なお、以下の運用はサポートしていません。
- 管理対象サーバの切替え
- バックアップ・リストア
・ Windows Server 2008以降のBitLockerドライブ暗号化(Windows BitLocker Drive Encryption)を使用した運用をサポートしていま
せん。
管理サーバまたは管理対象サーバがWindows Server 2008以降の場合、BitLockerドライブ暗号化を使用してシステムディスクを 暗号化しないでください。
第 5 章 ユーザーアカウントの決定
本章では、本製品のユーザーアカウントについて説明します。
ユーザーアカウントの決定
本製品では、ユーザーアカウントごとに利用できる操作や操作できるリソースを制限できます。
本製品の主な利用者種別は、以下のとおりです。
システム運用管理者
システム全体の運用を管理します。本製品のインストールや事前設定などを行います。
OSの管理者権限が必要です。通常は、インフラ管理者とシステム運用管理者を兼任します。
インフラ管理者
サーバ、ストレージ、ネットワーク、イメージなどのICTリソースを管理します。
ICTリソースをリソースプールで一元管理し、必要に応じてICTリソースの追加や構成変更、メンテナンスを行います。
本製品では、以下のロールがインフラ管理者に相当します。
- infra_admin(インフラ管理者)
テナント管理者
テナント利用者の用途に応じて、L-Platformテンプレートを提供します。
本製品では、以下のロールがテナント管理者に相当します。
- tenant_admin(テナント管理者) テナント利用者
L-Platformを作成し、利用します。
本製品では、以下のロールがテナント利用者に相当します。
- tenant_user(テナント利用者)
- lplatform_user(L-Platform利用者) 兼任管理者
インフラ管理者とテナント管理者の両方の役割を兼任します。
本製品では、以下のロールが兼任管理者に相当します。
- administrator(管理者)
ロール別の操作できる範囲については、「5.1 ロールによるアクセス制御」を参照してください。
ユーザーアカウントの条件
本製品上に作成するユーザーアカウントとロールについて以下の項目を設定します。
ユーザーID
先頭文字を半角英数字とし、半角英数字、アンダースコア("_")、ハイフン("-")およびピリオド(".")で構成された1~32文字の文字列 を入力します。
シングルサインオン認証を利用する場合、利用するディレクトリサービスによっては、ユーザーIDの文字数と使用できる文字が制限 される場合があります。ディレクトリサービスでユーザーIDを設定する属性については、「12.3 管理者の登録」の「表12.1 オブジェク トクラス」を参照してください。ユーザーIDを設定する属性に指定できる値の制限は、ディレクトリサービスのマニュアルを参照してく ださい。
シングルサインオンで利用するディレクトリサービスにServerView Operations Manager同梱ディレクトリサービスを使用する場合、
ディレクトリサービス内でユーザーID(uid属性値)は一意である必要があります。
パスワード
半角英数字と記号で構成された8~64文字の文字列を入力します。
シングルサインオン認証の場合、利用するディレクトリサービスによっては、パスワードの文字数と使用できる文字が制限される場 合があります。パスワードの制限については、ディレクトリサービスのマニュアルを参照してください。
ロール
ユーザーアカウントに設定するロールを設定します。
アクセス範囲
ユーザーアカウントに設定するアクセス範囲を設定します。
ユーザーアカウントを作成、変更できるのは、以下のどれかのロールを持つユーザーです。
・ infra_admin
・ tenant_admin
・ administrator
これらのロールで作成、変更できるロールは、以下の通りです。
表5.1 各ロールで作成、変更できるロール
ユーザーのロール
infra_admin infra_operator tenant_admin tenant_operator tenant_monitor tenant_user administrator operator monitor
infra_admin ○ ○ ○ ○ ○ ○ × × ○
tenant_admin × × ○ ○ ○ ○ × × ×
administrator ○ ○ ○ ○ ○ ○ ○ ○ ○
5.1 ロールによるアクセス制御
ここでは、ロールによるアクセス制御について説明します。
5.1.1 概要
本製品では、ユーザーごとに利用できる操作や、操作できるリソースを制限できます。
・ 利用できる操作の集合 ロールと呼びます。
・ 操作できるリソース アクセス範囲と呼びます。
テナント管理者とテナント利用者のロールを設定するユーザーでは、管理、利用するテナントがアクセス範囲になります。
ユーザーごとにロールとアクセス範囲を設定することで、権限を制限できます。
ロール
ロールには以下の名前が付けられています。各ロールの詳細な操作権限については、「5.1.2 ロールと可能な操作」の「表5.3 ロール別 操作可能範囲」を参照してください。
インフラ管理ロール
- インフラ管理者(infra_admin)
インフラ管理者は、プライベートクラウド内のICTリソース(サーバ、ストレージ、ネットワーク、システムイメージ)の管理を行います。
本製品を使用して、ICTリソースをプール化して一元管理し、負荷状態の把握と必要に応じたICTリソースの追加、入替えおよ びメンテナンスを行います。
テナント利用者、テナント管理者の用途に応じて、事前に定義した論理プラットフォーム(L-Platform)のひな型(L-Platformテン プレート)を用意し、テナント利用者、テナント管理者に公開します。
申請プロセスに沿って、テナント利用者、テナント管理者からの申請を受理し、申請内容を審査することもあります。
インフラ管理者の主な役割と作業を以下に示します。
- プライベートクラウド内のICTリソース(サーバ、ストレージ、ネットワーク、システムイメージ)の管理(追加、入替、メンテナン ス)
- 共用プール(グローバルプール)の管理
- L-Platformテンプレートの作成、公開
- 論理プラットフォーム(L-Platform)を利用するための利用申請の審査
- インフラオペレーター(infra_operator)
インフラオペレーターは、L-Platformに対して監視だけできます。その他、リソースプール内のリソースに対して、電源操作とバッ クアップができます。
- インフラ監視者(monitor)
すべてのリソースの監視だけできます。
テナント管理ロール
- テナント管理者(tenant_admin)
テナント利用者の用途に応じて、インフラ管理者が事前に定義したL-Platformテンプレートをもとにテナント固有のL-Platform テンプレートを用意し、テナント利用者に公開します。
申請プロセスに沿って、テナント利用者からの申請を受理し、申請内容を承認することもあります。
テナント管理者は、テナント利用者の利用状況の確認や運用状況の監視ができます。
テナント管理者の主な役割と作業を以下に示します。
- テナント専用リソースプール(ローカルプール)の管理
- L-Platformテンプレートの管理
- テナント利用者のアカウント管理
- 論理プラットフォーム(L-Platform)利用申請の承認
- テナントオペレーター(tenant_operator)
テナントオペレーターは、テナント管理者ができる操作のうち、以下の操作だけできます。
- リソースのバックアップ
- L-Platformの電源操作
- テナント全体のリソース監視 - テナントのローカルプールの監視
- テナント監視者(tenant_monitor)
テナント監視者は、L-PlatformとL-Serverの監視だけできます。
テナント利用ロール
- テナント利用者(tenant_user)
論理プラットフォーム(L-Platform)の利用申請を行い、申請に基づいて構成された論理プラットフォーム(L-Platform)を利用で きます。
申請する際、テナント管理部門の責任者の承認が必要な場合、申請プロセスに沿って責任者へ承認を依頼します。
テナント利用者の主な役割と作業を以下に示します。
- 論理プラットフォーム(L-Platform)の利用申請 - リソースの稼動状況確認
- L-Platform利用者(lplatform_user)
L-Platform利用者は、テナント利用者(tenant_user)がL-Platformを利用するためのロールです。
L-Platform利用者は、L-Platformの操作、変更、削除ができます。
このロールはL-Platform作成時に自動的に割り当てられ、L-Platform削除時には自動的に削除されます。追加/削除は必要あ りません。
兼任ロール
- 管理者(administrator)
管理者は、インフラ管理者とテナント管理者を兼任する場合に利用してください。
- オペレーター(operator)
オペレーターは、インフラオペレーターとテナントオペレーターを兼任する場合に利用してください。
- 監視者(monitor)
すべてのリソースの監視だけできます。
ユーザーグループ
ユーザーグループは、複数のユーザーを一括して管理する機能です。ユーザーと同様にロールとアクセス範囲を設定することで、そ のユーザーグループに属するすべてのユーザーの権限をまとめて設定できます。
ユーザー作成時にユーザーグループを指定しない場合、作成したユーザーと同じユーザーグループになります。そのため、同一部門 内で利用する場合、ユーザーグループの存在を考慮する必要はありません。
ユーザーとユーザーグループのアクセス範囲に指定されたリソースフォルダーとリソースを削除すると、アクセス範囲とロールの設定か らも削除されます。
ユーザーとユーザーグループのアクセス範囲とロール設定の関係は、「表5.2 ユーザーとユーザーグループのアクセス範囲とロール設 定の関係」のとおりです。
表5.2 ユーザーとユーザーグループのアクセス範囲とロール設定の関係
ユーザー ユーザーグループ アクセス範囲とロール
設定あり 設定あり ユーザーの設定が有効
設定あり 設定なし ユーザーの設定が有効
設定なし 設定あり ユーザーグループの設定が有効
設定なし 設定なし すべてのリソースにアクセス不可
ユーザーグループは、初期状態では"supervisor"ユーザーグループと"monitor"ユーザーグループだけが定義されています。
"supervisor"ユーザーグループ
"supervisor"ユーザーグループには、"all=administrator"のアクセス範囲とロールが設定されています。
"all=administrator"は、アクセス範囲を制限しない管理者(インフラ管理者とテナント管理者を兼任する管理者)ロールです。
"monitor"ユーザーグループ
"monitor"ユーザーグループには、"all=monitor"のアクセス範囲とロールが設定されています。
"all=monitor"は、アクセス範囲を制限しない監視者(インフラ監視者とテナント監視者を兼任する監視者)ロールです。
テナントとユーザーグループ
テナントを新たに作成すると、テナントに対応するユーザーグループが作成されます。テナント管理者とテナント利用者のユーザー を作成すると、テナントに対応するユーザーグループに属します。