PowerScaleのマルチテナント構成について

fujita1122さん

 

1.マルチテナントはGroupNet単位で構成し、デフォルトゲートウェイ経由で到達できないサブネットからの通信がある場合は、ソースベースルーティング（SBR）を利用する想定でいますが、基本的な考え方は合ってますでしょうか。
→マルチテナントを実現するためにGroupnetがあり、Source-based routing (SBR)は送信元IPを見て適切なゲートウェイに振り向ける機能なのでご認識の通りです。

 

PowerScale OneFS 9.14.0.0 Web Administration Guide
Page430
Groupnets reside at the top tier of the networking hierarchy and are the configuration level for managing multiple tenants on your external network. 

Page437
Source-based routing (SBR) selects which gateway to direct outgoing client traffic through based on the source IP address in each packet header.

 

Dell EMC Knowledge Article 000020056 : PowerScale OneFS：ソースベース ルーティングについて
ネットワークが複数のゲートウェイを持つマルチテナント環境の場合、トラフィックはソースベースのルーティングによってより効率的に分散されます。

 

 

2.「各NWは異なるセグメントであること（同じIPを重複して使う構成は不可）」以外にマルチテナント時の利用制限事項や注意点をご教示頂けないでしょうか。

 

→マルチテナント≒GroupNet設定という観点で..

 

GroupNetでそれぞれDNSを分けてクライアントからのデータアクセス分離はできても、PowerScaleの管理機能などはDefault Groupnetであるgroupnet0に設定されている情報のみ、/etc/resolv.confに記載されることになります。

 

そのためPowerScaleにSSH接続してnslookup、dig、pingなど（OneFSのベースのLinux相当の機能）はデフォルトグループネットのものしか認識しません。

またSSHだけでなく、GUI,OneFS APIなどの管理系機能においてもデフォルトグループネットの情報を参照するのみ、となります。

またSyncIQでのターゲット名名前解決もDefault GroupnetのDNSを使うことになります。

 

参考スレッド：

Isilon groupnet毎のDNS

 

Isilon SyncIQ用ネットワーク

 

OneFS Groupnet and Network Tenancy
In general, services or protocols which work face end users and are multi-tenant access zone-aware are also supported with Groupnets. Administrative and infrastructure services like WebUI, SSH, SyncIQ, and so on are not.

 

Dell EMC Knowledge Article 000020423 : PowerScale: The default groupnet is only used to populate the /etc/resolve.conf file
The default groupnet defines DNS server IP addresses added to /etc/resolv.conf. The default groupnet should not be changed. All future groupnets are not added to the /etc/resolv.conf file. Using tools such as nslookup, dig, host, and ping use /etc/resolv.conf for defined DNS server IP addresses. Instead, using a different DNS server must be defined within the tool's command.

 

そのほかにも、Default GatewayはClusterに一つである（複数設定は可能）ことなど、制限事項があります。

 

PowerScale OneFS 9.14.0.0 Technical　Specifications Guide
Page19
Networking guidelines　（このセクションにある1、もしくは1 per groupnetに数字的な制限があります）

 

 

Multi-tenant access zone　

（マルチテナント設定時のベストプラクティスがあります）
The best practices for Multi-tenant Access Zones include:以下の項目

 

3.マルチテナント時の下記周辺サーバは、NW毎に1セット配置する構成は可能なのでしょうか。1セットのみの共用構成になりますでしょうか。

 

 

ウイルス対策スキャンサーバ(Server Protect for EMC)
→CAVAサーバ設定においてClusterにつき1つのIPPoolを作成しての設定となるためNW毎の設定はできないと思います。

 

参考：PowerScale OneFS 9.14.0.0 CLI Administration Guide 

Page567
Create an IP pool in a CAVA server
You must create a dedicated IP pool for the exclusive use of the CAVA servers. Do not mix the IP range in this dedicated IP pool with others for regular SMB client connections

 

 

ログ管理サーバ(ALOG)
→監査対象イベントはAccess Zone単位で指定可能ですが、CEEサーバはグローバル設定のためNW毎に分けることはできません。設定コマンドであるisi audit settings globalコマンドを見ても設定はグローバルです。

 

PowerScale OneFS 9.14.0.0 CLI Administration Guide
Protocol auditing
Page235
You can specify which events to log in each access zone.

Page237
The CEE servers are shared in a global configuration and are configured with OneFS by adding the URI of each server to the OneFS configuration.

 

PowerScale OneFS 9.13.0.0 CLI Command Reference
Page63  isi audit settings global modify

ランサムウェア対策サーバ(Ransomware Defender)
→設定はCluster毎になり、NW毎の設定はできないのではないでしょうか。　

 

PowerScale Cybersecurity and AirGap Vault Reference Architecture

Page10

Ransomware Defender monitors clusters for these specific events that are abnormal to typical user patterns
Page28

Figure 30. Cybersecurity - Easy Auditor and Cybersecurity - Ransomware Defender Interaction　

 

Ransomware Defender for Dell PowerScale（外部サイト）

PowerScale 1クラスタに対して統合管理GUI「Eyeglass」とRansomeware Defenderの利用に必要な「Eyeglass Clustered Agent(ECA)」を構成。