NetApp Tech OnTap
クラウド課題を解決する、“インフラ共有化”の技術的メリット
共有ストレージの“安全な分離”と“データ移行”

ITにおけるトレンドの例に漏れず、クラウド・コンピューティングも新しい流行語を数多く生み出しています。そうした流行語の中には本物の機能もありますが、設計図の域を出ないものも少なくありません。後者の一例が「セキュア・マルチテナント」、つまり、複数の「テナント」(個々のアプリケーション、部門、顧客など)の厳密な分離を保証したうえで、これらのテナントをサポートできる共有インフラの機能です。

安全にパーティショニングされた共有ストレージに要求される条件については、まだほとんどのストレージ・ベンダーが模索している段階です。しかしNetAppは、クラウド・コンピューティングという言葉がIT企業各社のプレスリリースに初めて登場する何年も前(2002年)にNetApp® MultiStore®ソリューションを発表し、セキュア・マルチテナントという概念の先駆者となりました。MultiStoreを使用すると、1つのストレージ・システム上に複数の独立した論理パーティションを作成し、保護された仮想パーティション内の情報を不正アクセスから守ることができます。さらに、ストレージ・システム間で仮想パーティションを簡単に移行することも可能であるため、管理しやすく、しかも強力なディザスタ・リカバリ(DR:災害復旧)を実現できます。

図1)NetApp MultiStoreは、1つのストレージ・システムをvFiler™ユニットと呼ばれる複数のセキュア・パーティションに分割します。vFilerユニットはそれぞれ個別の「テナント」、すなわちアプリケーション、企業内の各部門、または外部の顧客に割り当てることができます。

図1)NetApp MultiStoreは、1つのストレージ・システムをvFiler™ユニットと呼ばれる複数のセキュア・パーティションに分割します。vFilerユニットはそれぞれ個別の「テナント」、すなわちアプリケーション、企業内の各部門、または外部の顧客に割り当てることができます。

セキュア・マルチテナントという用語が気に入るかどうかは別として、クラウド環境におけるデータ・セキュリティについては、多くの企業が懸念しています。この記事では、MultiStoreに安全性を実現しているテクノロジを検証し、NetApp Data Motion™について説明するとともに、一般的な用途をご紹介します。なお、Tech OnTap今月号の関連記事では、VMwareおよびCiscoのテクノロジをNetApp MultiStoreと組み合わせた、エンドツーエンドのセキュア・マルチテナント・アーキテクチャにおけるQuality of Service(QoS:サービス品質)についてご紹介しています。

MultiStoreのセキュリティ

NetApp MultiStoreの重要な設計要素は、Data ONTAP®の内部で動作する仮想ストレージ・コントローラであるvFilerユニットです。vFilerユニットは、Data ONTAPマルチプロトコル・サーバの小さなインスタンスです。vFilerユニットを構成している要素は、ボリュームまたはqtreeに保存されたデータ、vFilerユニットにアクセスするために必要なIPアドレスとネットワーク設定、およびデータに関連付けられたセキュリティなどの属性です。クライアント・システムや管理ソフトウェアの側から見ると、1つのvFilerユニットに保存されたデータは、他のすべてのvFilerユニットから完全に分離され、保護されています。

vFilerユニットに対応付けられたネットワーク・コンポーネントは、IPアドレス、インターフェイス、およびIPSpaceで構成されています。IPSpaceは一意の論理ルーティング・テーブルです。IPSpaceからのトラフィックは、ネットワーク・ゲートウェイを通過しなければその外には出られません。したがって、VLANによって提供される論理的なネットワークの分離に加えて、IPSpaceによりvFilerユニット間にセキュリティ・レイヤが1つ追加されることになります。各インターフェイスまたは仮想インターフェイスは、それぞれ1つのIPSpaceにのみ所属しますが、IPSpaceは複数のインターフェイスを持つことができます。vFilerユニットとストレージ・リソースおよびネットワーキング・リソースは、動的に関連付けできるため、リソースの移動が比較的容易です。

ストレージ・システムが要求を受信すると、ネットワーク・ドライバがその要求をIPプロトコル・スタックに渡します。この要求には、宛先IPアドレスとネットワーク・インターフェイスに対応付けられたIPSpaceに基づくコンテキストがタグ付けされます。処理が終わるまで、各要求にはこのコンテキストが対応付けられます。各vFilerユニットには固有のプロトコル・スタックがあり、それによってvFilerユニットは自身のポートをリスニングすることができます。要求全体を通じてコンテキストが保持されるため、同じポート番号が複数のvFilerユニットに存在する場合があります。

同様に、1つのvFilerユニットが所有するデータ・セットに、他のvFilerユニットがアクセスすることはできません。ストレージ・システムにより、各ボリュームおよびqtreeは、それを所有するvFilerユニットにマッピングされます。各要求に割り当てられたコンテキストは、アクセス先のファイルまたはディレクトリのコンテキストに一致しなければなりません。一致しない場合、その要求は即時にエラーとなります。シンボリック・リンクがvFilerユニットの境界外のパスに解決された場合、要求のコンテキストに不一致があるため、データ・アクセスは失敗します。

2004年と2008年に行われた第三者機関によるMultiStoreの検証では、MultiStoreのセキュリティ・モデルに脆弱性はまったく発見されませんでした。

NetApp Data Motion:マルチテナント環境にモビリティを追加

MultiStoreは、その独自設計によりNetApp Data Motion(ストレージ・システム間でのNFSまたはiSCSIデータ・セットの無停止での移行)をサポートすることが可能です。NetApp Data Motionを使用すると、vFilerユニット全体を1つのストレージ・システムから別のストレージ・システムに、継続中のアクティビティを停止せずに移行することができます。VMware® VMotion™、XenServer XenMotion、Microsoft® Hyper-V™ Quick Migrationが仮想マシンに対して実行することを、NetApp Data Motionはデータに対して実行し、仮想マシン(VM)の移動と同じように、データの移行を容易にします。これらのサービスとNetApp Data Motionを組み合わせると、インフラのあらゆるレイヤにモビリティが提供され、負荷分散や無停止アップグレードなど、データセンターのさまざまなニーズに対応することができます。

MultiStoreのセキュリティ機能は、テナント・データの移行中もセキュリティの劣化を防止します。移行またはカットオーバー・プロセス中に同期SnapMirrorを使用して、ストレージ・システム間でデータ・セットを同期します。NetApp Operations Managerバージョン4.0とProvisioning Managerアドオンを使用すると、NetApp Data Motionプロセスおよびクリーンアップを自動的に実行できます。

図2)NetApp Provisioning Managerインターフェイスを使用してNetApp Data Motionによる移行を開始

図2)NetApp Provisioning Managerインターフェイスを使用してNetApp Data Motionによる移行を開始

MultiStoreの利用にあたって

MultiStoreを使用するにあたっては、考慮事項がいくつかあります。メモリ容量2GB以上のNetAppストレージ・システム(現行モデルのほとんどがこれに該当)では、MultiStoreはストレージ・システムごとに最大65個のvFilerユニットをサポートできます。MultiStoreがサポートするプロトコルは、NFS、CIFS、iSCSI、HTTP、NDMP、FTP、FTPS、SFTPです。FCPはroot vFilerユニット(vFiler0)でしかサポートされない点に注意してください。vFilerユニット単位で、各プロトコルを有効または無効にすることができます。

vFilerユニット自体によるメモリ・オーバーヘッドが非常に少ないため、MultiStoreのあるシステムは、MultiStoreのないシステムと同程度の集約負荷を処理することができます。ただし、MultiStore搭載のシステムは、MultiStoreを搭載していないシステムよりも多くの負荷を維持できるわけではないので注意してください。

NetApp FlexShare®ソフトウェアを使用すると、マルチテナント環境内で一部のボリューム(およびボリュームに対応付けられたワークロード)を、他のボリュームよりも優先的に処理することができます(FlexShareについてはTech OnTapの過去の記事で詳しく解説しています)。リソースをめぐって競合が発生した場合、優先順位の高いボリュームのトランザクションが、より迅速に処理されます。ストレージ・システムのリソースに競合がない場合は、FlexShareの優先順位にかかわらず、どのワークロードでもリソースを利用できます。

管理面では、テナントにさまざまなレベルのコントロール(管理機能がまったくない形態から、監視のみの形態、さらにはvFilerユニットで作成される制限内であらゆる管理機能を提供する形態まで)を認めるよう、テナント環境を設定することができます。管理手法には、コマンドラインを使用することもできますし、NetApp Operations Managerとそのアドオン製品(Provisioning ManagerおよびProtection Manager)を使用することもできます。

MultiStoreの用途

MultiStoreには一般的な用途が4つあります。これらの用途は相互に排他的なものではなく、MultiStoreホスティング環境やファイル・サービス環境の一部分として、データの移行やDRといった用途を利用することもできます。

ホスティング:MultiStoreでは複数の管理ドメインを簡単に作成できるので、共有ストレージ・サービスやホスティング・サービスのマルチテナント基盤として理想的です。インフラ・サービスまたはアプリケーション・ホスティング・サービスのどちらを提供する場合でも、クラウド・プロバイダは、1つのストレージ・システムのリソースをパーティショニングして、顧客企業向けに多数の独立したMultiStore vFilerユニットを作成できます。NetApp FlexShareでは最大5つの優先度レベルを使用できるので、ホスティング環境で最大5階層のサービス・レベルを提供できます。

これと同じように、企業のIT部門は、社内のさまざまな部門のニーズに対応するMultiStore vFilerユニットを作成することができます(最後に説明する用途「ファイル・サービスの統合」は、実際にはこの用途を限定的に応用したものです)。

データの移行:前述したNetApp Data Motion機能を使用すると、MultiStoreによって1つのストレージ・システムから別のストレージ・システムに無停止でデータを移行することができます。移行先のストレージ・システムを大幅に再設定する必要もありません。MultiStoreを使用しない場合、NetApp SnapMirror®テクノロジを使用してストレージ・システム間でデータをコピーすることもできますが、その場合には、ある程度の停止時間が必要になり、アクセス制御リスト(ACL)、ローカル・ユーザ・グループの定義、ユーザ・マッピング情報などを編集してからでないと、データにアクセスできません。一方、コピーするデータがMultiStoreで保存されていれば、すべてのユーザ、グループ、ACL情報がvFilerユニットにカプセル化されます。移行と同時に、カプセル化された情報を使って移行先ストレージ・システムにvFilerユニットが再構成されるため、再設定なしで移行先ストレージ・システムからデータを提供することができます。

ディザスタ・リカバリ(DR):MultiStoreの用途として、おそらく最も知られていないのが自動化されたDRです。MultiStoreを使用すると、vFilerユニット・インスタンスごとにIPドメインを移行する、シンプルなサイト間DRを実現できます。SnapMirrorを使用して所定のスケジュールに基づくvFilerユニットのレプリケーションを実行し、各vFilerユニットのプライマリ・バージョンに同期したバックアップ・バージョンを作成します。障害が発生した場合、管理者はコマンド1つでバックアップvFilerユニットへの切り替えをトリガーできるため、カットオーバーが非常に速く、クライアントへの影響はほとんどありません。問題の原因を解決した時点で、DRサイトのvFilerユニットを、送信元と再同期することができます。

ファイル・サービスの統合:最後に説明するMultiStoreの非常に好評な用途は、ファイル・サーバの統合です。部門ごとに専用のファイル・サーバを使用している企業は少なくありません。多数の小容量ファイル・サーバを1つの大容量ファイル・サーバに統合すれば、利用率が改善され、管理にともなうオーバーヘッドが削減されますが、運用管理上のコントロールを他部署にまかせたがらない部門が多いという問題があります。MultiStoreを使用すれば、vFilerユニットを利用して小容量ファイル・サーバを統合し、統合のメリットを達成すると同時に、部門ごとに管理コントロール機能を残すことが可能になります。

Tier 3:成功事例

中小企業向けマネージド・サービスの大手プロバイダであるTier 3では、同社の成長著しいクラウド・インフラをサポートするためにMultiStoreを選択しました。同社ではMultiStoreを使用して、新規顧客向けのvFilerユニットを1時間未満でプロビジョニングすることができます。このvFilerユニットは、DR、スケーラビリティ、迅速なバックアップ/リストアなど、専用SANのあらゆる機能を提供します。MultiStoreを使用した共有ストレージは、専用ストレージと比べて、顧客側では80%、Tier 3側では50%のコスト削減を達成しています。Tier 3については、最近の導入事例で詳しく紹介されています。

まとめ

MultiStoreは、ストレージ環境におけるセキュア・マルチテナントを実現するための代表的なソリューションです。MultiStoreの堅牢性はラボ・テストでも証明されているほか、お客様の環境への導入でも数年に及ぶ実績があります。MultiStoreはNetAppストレージ・プラットフォーム全製品で使用することができ、高度なセキュリティを提供するだけでなく、無停止のデータ移行機能を統合した唯一のソリューションです。


David A. ChapaRoger Weeks
NetApp テクニカル・マーケティング・エンジニア

Rogerは2007年にNetAppに入社し、ストレージ・セキュリティを担当しています。NetAppに入社する以前は、システムとネットワーク関連の業務でさまざまな役職を歴任してきました。ここ数年は、ワイヤレス、サービス・プロバイダ、ストレージに対するセキュリティを専門に活動しています。Rogerには『Linux Unwired』、『Wireless Hacks, 2nd Edition』など、数冊の著作(共著)もあります。

David A. ChapaPaul Feresten
NetApp シニア・プロダクト・マーケティング・マネージャー

Paulは2005年にNetAppに入社し、Data ONTAP、MultiStore、FlexClone®、シン・プロビジョニングなどNetAppの主要ソフトウェアを担当しています。この業界で30年以上にわたってプロダクト・マネジメント、営業、マーケティング、経営に携わってきました。NetAppに入社する前は、Data General、Digital Equipment Corporation、MSI Consulting、SEPATONに勤務していました。


関連情報