AOS 5.6提供了網路微切分政策設定功能,可以進一步設定個別VM虛擬網路埠的連接權限,甚至還能設定特定應用程式的前、後端連接IP位址權限。

自去年(2017)12月到今年4月,短短不到半年時間內,Nutanix連續發布了5.5版與5.6版兩個AOS更新版本,其中包含了十多項功能更新,其中最重要的,是在網路資安防護、遠端災難備援、檔案共享服務,以及Prism管理平臺擴展性等,共有4個方面的功能強化。

首先,在資安防護的方面,主要是新增了軟體資料加密,以及網路微切分(Micro-Segmentation)功能。前者提供了SED加密磁碟的軟體替代方案,後者則可讓管理者更精細地掌控Nutanix平臺的VM網路存取。

在災難備援功能方面,AOS提供了新的近同步遠端複製模式,可提供更精細的異地備援資料同步選擇。

到了檔案共享服務方面,AOS提供的Acropolis File Services(AFS)共享檔案儲存服務,升級為3.0版,增加了支援NFS v4協定的能力。

而Prism管理平臺的升級,則是提供了Scale-Out模式,可以大幅增加Prism Central控制臺的叢集管理規模。

除了前面4項重點更新項目外,AOS其他重要功能,還有:在Prism控制臺中提供了類目群組(Categories)功能,可為叢集中的VM分別設定群組,統一套用管理政策,以及Nutanix節點容量規格的提高(單一節點最高容量提高到80TB),同時,還有Nutanix自身AHV虛擬平臺功能的強化等等。

【擴展VM管理能量,新增彈性的群組政策設定功能】Prsim管理平臺的強化

在AOS 5.6版中,Nutanix新增了兩項強化Prism管理平臺的功能。

其一,是用於擴展Prism Central管理能量的Prism Scale-Out。用於管理多叢集環境的Prism Central管理平臺,本身是1臺VM,可以管理最多1.25萬臺VM,利用新的Prism Scale-Out,可允許同時部署3個Prism Central VM,藉此建構出一個分散式、多節點的Prism Central管理平臺,進而把Prism Central管理能力提高到2.5萬臺VM與60個叢集。

其二,是Prism控制臺中新增的類目群組(Categories)功能,可以建立不同用途的群組,然後把VM指派到群組中,然後藉由為群組設定不同的設定值,便可讓群組中的VM統一套用政策。

【利用類目群組設定VM群組管理政策】在AOS 5.5中先推出預覽,接著在5.6版正式發布的類目群組(Categories)功能,可讓管理者透過Prism控制臺建立許多政策群組,然後將VM指派到群組中統一套用政策。

【提供低成本、高同步頻率的遠端災難備援選擇】近同步遠端複製模式

如同許多現行的專業等級儲存系統,Nutanix在AOS中,提供了同步(Sync)與非同步(Async)兩種遠端複製模式,其中的同步複製模式,可提供與來源端資料零時間差異的還原點目標(RPO),但傳輸線路成本極高;非同步模式需要的傳輸資源低,但能提供的最小RPO只有1小時,也就是複製作業排程的最小間隔是1小時。

到了AOS 5.5,Nutanix則新增了ㄧ個新的近同步(NearSync)遠端複製模式,作為介於同步與非同步模式之間的折衷選擇。其實所謂的近同步模式,就是一種允許「分鐘級」排程間隔的非同步複製,可以設定最小1~15分鐘的複製排程間隔,將非同步複製的RPO,從過去的1小時縮短為最低1分鐘,提供「接近」同步模式的保護效果。

【排程更精細的遠端複製】在AOS 5.5中,新增了「近同步」遠端複製模式,可以設定最小1分鐘的複製排程作業排程間隔。

【精細控制超融合環境的VM連接路徑】強化資安防護的網路微切分功能

AOS目前提供的網路微切分(Micro-Segmentation)功能分為2個層次。在AOS 5.5中提供了設定多重網路能力,可藉此將不同用途的網路彼此隔離,管理者可在網路組態中,分別設定叢集骨幹、系統管理與VM資料傳輸等不同用途的網段。

更進一步的功能,則是網路微切分政策的設定,Nutanix先在AOS 5.5版中,作為技術預覽(Tech Preview)推出,然後,在AOS 5.6版正式發布。這是一種初步的軟體定義網路功能,必須搭配AHV虛擬平臺才能使用,可以透過分散式防火牆架構,管控AHV平臺中個別VM的虛擬網路卡(vNIC)的網路埠存取權限(也就是Port層級、第4層的管理功能)。

AOS的網路微切分支援3種政策模式:

● 隔離(Quarantine):依預設政策自動執行的限定VM網路埠連接程序,可在遭遇特定事件時(如惡意軟體偵測警報),依預設腳本或API自動觸發啟動,限定VM的網路連接。

● 孤立(Isolation):限定讓兩個VM群組,只能在彼此之間互連。

● 應用程式(Application):為單一或多重應用程式,設定來源端與目的端VM網路IP位址的連接權限。

類似的功能,一些SDN軟體也能提供,不過Nutanix現在直接內含於AOS中。更進一步,日後還可以此為基礎,讓AOS沿伸出VPN、IPS/IDS或是負載平衡等應用。

【AOS的網路微切分基本概念】搭配Nutanix自身的AHV虛擬平臺,可管理個別VM的虛擬網路埠連接權限,即使更改VM的IP位址,網路微切分的保護設定仍然有效。(圖片來源/Nutanix)

【網路微切分的初步做法:分離管理與資料傳輸網路】AOS 5.5提供了初步的網路微切分功能,可在網路組態設定中,分別為系統管理、叢集骨幹傳輸與VM傳輸等不同用途,分別設定不同的網段,把這些網路傳輸彼此隔離開來。

【網路微切分的進階:控制個別VM存取】AOS 5.6提供了網路微切分政策設定功能,可以進一步設定個別VM虛擬網路埠的連接權限,甚至還能設定特定應用程式的前、後端連接IP位址權限。

【完整支援SMB與NFS協定的檔案共享儲存環境】強化檔案共享儲存服務

以往Nutanix的叢集儲存空間,都只供自身系統上層的Hypervusor使用。而Nutanix在AOS 5.0中,新增了Acropolis File Services(AFS)功能,可透過分散部署在叢集各節點中的檔案服務VM(FSVM),直接為外部用戶端提供檔案共享儲存服務,等同於是把Nutanix的超融合系統叢集,化身為Scale-Out NAS來使用。

不過,一開始AFS只支援SMB協定,而在AOS 5.6版中,AFS功能升級為3.0版,終於可以支援NFS v4協定。用戶端可以直接透過SMB或NFS協定,存取AFS管理的共享資料夾或目錄,而不需要經由超融合系統平臺的中介。

AFS 3.0還改善了備份功能,搭配Commvault、Veritas與Rubrik的備份軟體時,可啟用增量備份功能。

【同時支援SMB與NFS檔案存取】AOS 5.6版升級了Acropolis File Services(AFS)檔案共享服務功能,新增支援NFS v4協定,現在用戶可透過SMB或NFS協定,存取AFS管理的共享資料夾或目錄。


Advertisement

更多 iThome相關內容