データセンター

Cisco UCS 接続ポリシーを使用した管理役割・権限に基づくシンプルかつスムーズな管理

ホワイト ペーパー





Cisco UCS 接続ポリシーを使用した管理役割・権限に基づくシンプルかつスムーズな管理



概要


Cisco Unified Computing System™(Cisco UCS®)の導入と拡張を進めるにあたり多くのお客様は、UCSドメイン管理のエキスパートとして、サービス プロファイルを作成して導入するためのさまざまな方法のノウハウが重要となります。また、お客様は多くの場合、サーバ、ストレージ、ネットワーク管理者間においてサービス プロファイル作成の責任と権限を分担・分割できればと望んでいます。これにより、データセンターの役割、責任、権限に応じた、より自然な構成管理のプロセスを実現できます。

Cisco UCS Manager 2.1 は、LAN 接続ポリシーと SAN 接続ポリシーを通じて管理上の役割と権限の明確な分割をサポートします。図 1 に、(a) シンプルなサービス プロファイル(一括構成)と (b) LAN 接続ポリシーおよび SAN 接続ポリシーを参照するサービス プロファイルの比較を示します。この図では、サービス プロファイルの SAN 接続ポリシー、LAN 接続ポリシーによって、それぞれのサーバ、ストレージ、ネットワーク コンポーネントの管理分割ができることを示しています。また、Cisco UCS Manager 2.1 から接続ポリシーの構成時に使用できる新しいロールも提供します。このロールが割り当てられた管理者は、ネットワーク リソースとストレージ リソースを構成することはできません。これらのリソースは接続ポリシーを参照することで得られます。

図 1 サービス プロファイル:(a) シンプルな構成と (b) LAN 接続ポリシーと SAN 接続ポリシーを使用した構成

図 1 サービス プロファイル:(a) シンプルな構成と (b) LAN 接続ポリシーと SAN 接続ポリシーを使用した構成


この文書では、LAN 接続ポリシーと SAN 接続ポリシーを使用した、Cisco UCS でのサービス プロファイルの導入方法について説明します。また、Cisco UCS ロールベース アクセス コントロール(RBAC)システムと組み合わせ、接続ポリシーを使用してサービス プロファイル構成に明確な責任と権限分割を組み込む方法についても説明します。接続ポリシーは Cisco UCS Manager リリース 2.1 の一部として導入され、Cisco UCS ハードウェアの全バージョンでサポートされています。

接続ポリシー


LAN 接続ポリシーは、サービス プロファイルのネットワーク リソースを構成するために使用されます。これらのリソースには、仮想ネットワーク インターフェイス カード(vNIC)、Small Computer System Interface over IP(iSCSI)vNIC、VLAN、ネットワーク ID(MAC アドレス)、ピニング、統計、アダプタ ポリシーが含まれます。LAN 接続ポリシーは 1 つまたは複数のサービス プロファイルで使用する場合があるため、そのネットワーク ID はプール情報またはハードウェアに直接関連させる必要があります。一般的に、LAN 接続ポリシーはネットワーク管理者が構成します。

一方、SAN 接続ポリシーは、サービス プロファイルのストレージ リソースを構成するために使用されます。これらのリソースには、仮想ホスト バス アダプタ(vHBA)、仮想 SAN(vSAN)、ストレージ ID(World Wide Node Name(WWNN)および World Wide Port Name(WWPN))、統計、アダプタ ポリシーが含まれます。SAN 接続ポリシーは 1 つまたは複数のサービス プロファイルで使用する場合があるため、そのストレージ ID はプール情報またはハードウェアに直接関連させる必要があります。一般的に、SAN 接続ポリシーはストレージ管理者が構成します。

接続ポリシーから値を得るには、サービス プロファイルからそのポリシーを参照する必要があります。サービス プロファイルの作成中、作成ユーザはネットワーク リソースは LAN 接続ポリシー、ストレージ リソースは SAN 接続ポリシーを参照します。ポリシーの参照設定後は、その接続ポリシーのネットワーク リソースまたはストレージ リソースがサービス プロファイルで構成されます。

設定の柔軟性

接続ポリシーは 1 つまたは複数のサービス プロファイル、またはサービス プロファイル テンプレートから参照できます。これにより、サービス プロファイル構成は、非常に強力で柔軟性の高い基盤が提供され、接続ポリシーの再利用が促進されます。また、接続ポリシーへの変更は、それを参照しているすべてのサービス プロファイルに影響を与える(サービス プロファイルを更新する)ことも意味します。図 2 にいくつかのサービス プロファイル構成を示します。

a. サービス プロファイル DatabaseProf は、LAN 接続ポリシー InternalNetLCP と SAN 接続ポリシー SecureDataSCP を参照します。

b. サービス プロファイル VDIProfile は、LAN 接続ポリシー InternalNetLCP を参照します。

c. サービス プロファイル テンプレート DbVMTemplate は、LAN 接続ポリシー InternalNetLCP と SAN 接続ポリシー SecureDataSCP を参照します。

図 2 サービス プロファイルで共有される接続ポリシーの論理ビュー

図 2 サービス プロファイルで共有される接続ポリシーの論理ビュー


サーバ管理者は LAN 接続ポリシーまたは SAN 接続ポリシーを参照し、デバイス順序と起動順序は構成設定できます。

設定の柔軟性

この図では、サービス プロファイルとそれらの接続ポリシーそれぞれのネットワーク、ストレージ、サーバ コンポーネントがはっきりと分割されています。また、Cisco UCS Manager 2.1 は接続ポリシーと組み合わせて使用するように設計された新しいロールも提供します。

サーバ管理者の権限

Cisco UCS は、管理者が Cisco UCS のアクションやリソースに対するアクセスを制御できる RBAC システムを提供します。Cisco UCS Manager 2.1 では新しいロール server-compute を導入し、管理者はユーザのロールをサーバ管理のみに制限できます。このロールが割り当てられたサーバ管理者は、LAN 接続ポリシーと SAN 接続ポリシーを参照するサービス プロファイルの作成に必要な権限を持ちます。一方、この管理者はネットワーク リソースとストレージ リソースを構成することはできません。次の例では、このロールを使用して Cisco UCS ロケールでサーバ管理者、ストレージ管理者、ネットワーク管理者間の責任および権限を明確に分割する方法を示します。

構成例


次のセクションでは、Cisco UCS GUI を使用して LAN 接続ポリシーと SAN 接続ポリシーを参照するサービス プロファイルを構成する方法を説明します。手順は次のとおりです。

1. ユーザとロールを作成します。

2. LAN 接続ポリシーを作成します。

3. SAN 接続ポリシーを作成します。

4. サービス プロファイルを作成します。

ユーザとロールの作成

この例では、ネットワーク管理者およびストレージ管理者ユーザが作成済みであると仮定し、新しい server-compute のロールを使用して新たにサーバ管理者ユーザを作成する方法を示しています。またこの例では、Cisco UCS GUIから ロケールの作成を通してサーバ管理者を finance 組織の構成に制限しています。ロケールを作成するには、図 3 に示すように、[Create Locale] ウィザードを起動します。

図 3 [Create Locale] ウィザードの起動

図 3 [Create Locale] ウィザードの起動


図 4 に示すように、financial という名前のロケールを作成し、それに finance という組織を割り当てます。このロケールが割り当てられたユーザは、finance 組織内で構成の操作を実行できます。

図 4 finance 組織に対するロケールの作成

図 4 finance 組織に対するロケールの作成


次に、図 5 に示すように、[Admin] タブから [Create User] ウィザードを起動します。

図 5 [Create User] ウィザードの起動

図 5 [Create User] ウィザードの起動


[Create User] ウィザードで、新しいユーザに関する詳細情報を追加します。図 6 に示すように、server-compute のロールと financial のロケールを選択します。

図 6 server-compute のロールでのユーザ作成とロケールの割り当て

図 6 server-compute のロールでのユーザ作成とロケールの割り当て


これで financial のロケールでのみサーバ リソースを構成できるサーバ管理者が作成されます。ネットワークとストレージ接続を含むサービス プロファイルを作成するために必要な LAN 接続ポリシーと SAN 接続ポリシーを生成する場合、サーバ管理者ではなく、ネットワーク管理者とストレージ管理者がそれぞれ対応します。

LAN 接続ポリシーの作成

一般的に、LAN 接続ポリシーはネットワーク管理者が作成します。図 7 に示すように、LAN 接続ポリシーを作成するには、Cisco UCS GUI の [LAN] タブで対象組織(finance)を特定します。その LAN 接続ポリシー ノードを右クリックして [Create LAN Connectivity Policy] を選択し、ウィザードを起動します。

図 7 [Create LAN Connectivity Policy] ウィザードの起動

図 7 [Create LAN Connectivity Policy] ウィザードの起動


図 8 に示すように、[Create LAN Connectivity Policy] ウィザードでは vNIC および iSCSI vNIC を構成できます。[Create vNIC] ウィザードを起動するには、[Add] ボタンをクリックします。

図 8 [Create LAN Connectivity Policy] ウィザード

図 8 [Create LAN Connectivity Policy] ウィザード


図 9 に [Create vNIC] ウィザードを示します。このウィザードでは、MAC アドレスや最大伝送ユニット(MTU)、ピン グループ、アダプタ ポリシーを含む vNIC のさまざまな特性を構成できます。また必要に応じて複数の vNIC を作成できます。ただし、vNIC は MAC アドレスをプールから取り込むか、ハードウェアに直接関連させて構成する必要があります。

図 9 vNIC の特性をカスタマイズできる [Create vNIC] ウィザード

図 9 vNIC の特性をカスタマイズできる [Create vNIC] ウィザード


vNIC が使用する VLAN と vNIC を定義するポリシーを選択して、作成が完了します。LAN 接続ポリシーの作成後、図 10 に示すように [LAN] タブでその構成を表示し、変更できます。

図 10 LAN 接続ポリシー構成の表示と変更

図 10 LAN 接続ポリシー構成の表示と変更


SAN 接続ポリシーの作成

一般的に、SAN 接続ポリシーはストレージ管理者が作成します。図 11 に示すように、SAN 接続ポリシーを作成するには、Cisco UCS GUI の [SAN] タブで対象組織(finance)を特定します。その SAN 接続ポリシー ノードを右クリックして [Create SAN Connectivity Policy] を選択し、ウィザードを起動します。

図 11 [Create SAN Connectivity Policy] ウィザードの起動

図 11 [Create SAN Connectivity Policy] ウィザードの起動


図 12 に [Create SAN Connectivity Policy] ウィザードを示します。このウィザードでは vHBA の作成と構成ができます。[Create vHBA] ウィザードを起動するには、[Add] ボタンをクリックします。

図 12 [Create SAN Connectivity Policy] ウィザード

図 12 [Create SAN Connectivity Policy] ウィザード


[Create vHBA] ウィザード(図 13)では、ID、VSAN、最大データ フィールド サイズ、ピン グループ、アダプタ ポリシーを含む vHBA のさまざまな特性を構成できます。また必要に応じて複数の vHBA を作成できます。なお、vHBA は WWPN をプールから取り込むか、ハードウェアに直接関連させて構成する必要があります。

図 13 [Create vHBA] ウィザード

図 13 [Create vHBA] ウィザード


vNIC が使用する VSAN と vHBA を定義するポリシーを選択して、作成が完了します。いくつもの異なる vHBA を作成することもできます。

SAN 接続ポリシーの作成後、図 14 に示すように [SAN] タブでその構成を表示し、変更できます。

図 14 SAN 接続ポリシー構成の表示と変更

図 14 SAN 接続ポリシー構成の表示と変更


サービス プロファイルの作成

サーバ管理者は、前のセクションで作成した LAN 接続ポリシーと SAN 接続ポリシーを使用してサービス プロファイルを作成できます。Cisco UCS GUI の [Servers] タブで finance 組織を右クリックし、[Create Service Profile] で作成オプションのいずれを選択してサービス プロファイルを作成できます。図 15 に示すように、この例では [Create Service Profile (expert)] オプションを使用します。

図 15 [Create Service Profile] ウィザードの起動

図 15 [Create Service Profile] ウィザードの起動


Cisco UCS GUI がサービス プロファイル構成の手順をガイドします。ここでは server-compute のロールのみが割り当てられたユーザとしてログインしているため、サービス プロファイル作成プロセスは簡素化されています。ウィザードではサーバ管理に関連する構成オプションのみが提示されます。図 16 に示すように、LAN 接続ポリシーと SAN 接続ポリシーを選択して接続設定を行います。

図 16 LAN 接続ポリシーと SAN 接続ポリシーの選択

図 16 LAN 接続ポリシーと SAN 接続ポリシーの選択


つづいて、ウィザードにて、NIC の配置やサーバの起動順序、サーバ割り当てを含むサービス プロファイル構成オプションをガイドします。サービス プロファイル構成の完了後、図 17 に示すように、[Servers] タブでサービス プロファイルを表示し、変更することもできます。

図 17 サービス プロファイルの表示と変更

図 17 サービス プロファイルの表示と変更


まとめ


Cisco UCS は、管理者が Cisco UCS の管理作業やシステムリソースに対するユーザ アクセスを制御できる包括的な RBAC システムを提供します。Cisco UCS Manager 2.1 は LAN 接続ポリシーと SAN 接続ポリシーを導入し、Cisco UCS でネットワーク、ストレージ、サーバ管理者の役割権限を厳格に制御することを可能にします。

関連情報


最寄りのシスコ代理店にお問い合わせいただくか、次を参照ください。

お問い合わせ