ここでは、リソースプールごとのテナント隔離(ローカルプール作成の必要性)の考え方について説明します。
ここでは、サーバプールのテナント分離の考え方について説明します。
異なるモデルのサーバも同じサーバプールに配置できます。
サーバの冗長化を行う場合、業務で利用するサーバ用のサーバプールと、予備サーバのプールの配置について検討してください。
サーバプールと予備サーバのプールを兼用
業務で利用するサーバだけでなく、予備サーバの考慮が必要です。
サーバプールと予備サーバのプールを分離
サーバプールはローカルプール、予備サーバのプールはグローバルプールに配置できます。
ここでは、VMプールのテナント分離の考え方について説明します。
VMプールの中に異なるサーバ仮想化ソフトウェアのVMホストを配置できます。
VMホストが1つのVMプールに存在していても、仮想L-Serverは異なるテナントに配置できます。そのため、VMプールを分ける必要はありません。
ただし、以下の場合、テナントごとにローカルのVMプールを作成してください。
VMwareDRSやHAなどを構成しているVMホストは、同一のテナント配下のVMプールに集約してください。異なるテナントに分けてVMホストを登録した場合、VM管理製品の制御により、テナントを越えて仮想マシンが動作する可能性があります。
VMホストのセキュリティホールや負荷を考慮する場合、テナントごとにVMプールを分けて配置してください。
ここでは、ストレージプールのテナント分離の考え方について説明します。
異なるサーバ仮想化ソフトウェアの仮想ストレージリソースまたはディスクリソースも同じストレージプールに配置できます。
また、仮想ストレージリソースから生成されたディスクリソースと事前に作成されたディスクリソースも混在できます。
以下の場合、テナントごとにストレージプールを分けて配置してください。
用途に応じてストレージプールを分ける場合
利用者固有の情報を保持しているため、セキュリティを考慮する場合
性能を考慮する場合
事前に作成したディスクリソースのうち、共有ディスクとして利用する場合
シン・プロビジョニングを利用する場合
ストレージ自動階層制御を利用する場合
ここでは、ネットワークプールのテナント分離の考え方について説明します。
セキュリティの観点からテナントごとにネットワークプールを分けて配置してください。
イントラネットなどテナント間でお互いに通信ができる環境では共有できます。
ここでは、アドレスプールのテナント分離の考え方について説明します。
MACアドレスとWWNはアドレスプールで混在できます。ただし、サーバの種別により必要なリソースが異なるため、異なるアドレスプールでの管理が簡単です。サーバプールの分け方と合わせてください。
MACアドレス | WWN | |
|---|---|---|
ブレードサーバ(VIOMが必要) | ○ | ○ |
ラックマウント型サーバ(HBA address renameが必要) | × | ○ |
以下の場合はアドレスプールを分けてください。
テナントごとにLANを分け、ファイアーウォールなどにMACアドレスを登録する場合
テナントごとにSANを分け、ファイバーチャンネルスイッチのゾーニングにWWNを設定する場合
ライセンス認証などでMACアドレスを意識するソフトウェアを利用する場合
ここでは、イメージプールのテナント分離の考え方について説明します。
テナントに依存しないOSだけのイメージの場合、イメージプールを分ける必要はありません。
テナント固有の情報をもつイメージはテナントごとにイメージプールを分ける必要があります。
テナント固有のアプリケーションの設定を行ったうえで、イメージを採取するなどの対策を行ってください。
