MAASにおけるマルチテナンシー

by Canonical on 4 October 2019

本ブログでは、MAAS(Metal as a Service)におけるマルチテナンシーの概念について説明します。マルチテナンシーにより、オペレーターは複数の異なるユーザーグループに対して、他のユーザーグループについて一切関知することなしに1つのリソース(マシン)グループを提供できるため、マシンの稼働率が向上します。

一般に、中規模から大規模の環境は、ユーザーやユーザーグループごとに異なるマシン群を提供する目的で使用されます。MAASではもともと、ユーザーが将来使用するマシンを予約(割当)できるようにすることで、この用途に対応していました。しかし、MAAS 2.4でリソースプールの概念を導入しました。

リソースプールとロールベースアクセス制御

リソースプールとは、物理リソースおよび仮想リソースを管理する新しい方法です。1つ以上のマシンを配置できる「バケツ」とも言えます。1つのマシンは1つのリソースプールにのみ存在できます。

しかし、マシンをリソースプールによって整理したとして、各ユーザーやグループに異なるリソースプールを割り当て、かつ他のユーザーに割り当てられたリソースを見せないようにするにはどうすればよいでしょうか? これにはRBACを利用します。

ロールベースアクセス制御(Role-based access control:RBAC)は、上記の機能を提供する外部のマイクロサービスとしてMAASでサポートされています。CanonicalのRBACサービスでは、管理者が所定のリソースプールにアクセスできるユーザーまたはグループ、およびそれらのユーザーまたはグループがリソースプール内で果たすロールを選択できま

RBACではマルチテナンシー環境に柔軟に対応できるように4つのロールが提供されています。

  • 管理者(Administrator):MAASの現在の管理者ユーザーにマップされます。
  • オペレーター(Operator):リソースプールの中で管理権限を提供します。
  • ユーザー(User):MAASの現在の非管理者ユーザーにマップされます。
  • 監査担当者(Auditor):情報の読み取りのみが可能です。

MAASでは物理リソースと仮想リソースがリソースプールに整理され、リソースへのアクセスがRBACにより阻止されますが、認証はどうするのでしょうか? ユーザーまたはユーザーグループのソースはどこでしょうか?

認証に関して言えば、CanonicalのID管理サービスであるCandidがMAASおよびRBACに組み込まれています。Candidは、LDAP、Active Directory、SSOなどと統合された集中認証サービスです。MAASの場合、CandidがユーザーまたはユーザーグループのソースとなるLDAP認証を提供します。

これにより管理者は既存の認証システムを引き続き使用しながら、それらをシームレスにMAASおよびRBACに組み入れることができます。

これがマルチテナンシー?

上記のとおり、MAASはリソースプール、RBAD、LDAP(とCandid)を活用してマルチテナンシーを実現します。MAAS内の管理者は、組織内の特定のユーザーまたはグループが1つまたは複数のリソースプールのみにアクセスできるようにすることができます。 

なぜこれがマルチテナンシーになるのでしょうか? それは、ユーザー(またはユーザーグループ)はアクセス権のあるリソースプール内のリソースにしかアクセスできず、他のリソースプールの存在を知らないからです。この完全な分離により、大規模な環境でも中小企業(SMB)でもMAASを柔軟に活用できるのです。 
詳細は, までお問い合わせください。

関連記事

「There’s a hole in the boot(BootHole)」 – CVE-2020-10713の緩和と関連の脆弱性

責任ある開示と協調した対応が皆の利益に Canonicalは本日、「There’s a hole in the boot(ブーツに穴がある)」、あるいはGRUB2(GRand Unified Bootloader version 2)のBootHoleと呼ばれる一連の脆弱性に関する最新情報を公開しました。この脆弱性により攻撃者はUEFIセキュアブートを回避できます。当初の脆弱性であるCVE-2020-10713は、優先度の高い脆弱性として2020年4月にCanonicalが警告を受けています。以来、Canonicalは7つの関連脆弱性を発見し、幅広いオープンソースコミュニティおよびMicrosoftと協力しています。そして本日、Ubuntuおよび主要Linuxディストリビ […]

Kubernetes on Macのセットアップ

Macで動くKubernetesソリューションをお探しですか? MicroK8sはCanonicalが開発した純粋で軽いKubernetesのアップストリームディストリビューションです。このコンパクトなLinux Snapは、入念に選択されたアドオンとともに、シングルノードのKubernetesクラスターをLinux、Windows、macOSにインストールします。MicroK8sはもともとLinux用に構築されたものですが、Kubernetes on Macなら、Ubuntu仮想マシン(VM)でネイティブにMicroK8sを実行します。 MicroK8sは必要リソースが少なく、Kubernetesのシングルノードとしてもマルチノードクラスターとしても使用できます。Mic […]

CanonicalがGSIパートナープログラムの強化を発表、 拡張性と自動化機能で企業の最新IT導入を促進

Ubuntuの提供元であるCanonical(本社:英国・ロンドン、CEO:Mark Shuttleworth)は本日、グローバルシステムインテグレーター(GSI)プログラムの強化を発表しました。新しいプログラムでは、パートナーメリットを追加するとともに、データセンター、マルチクラウド、エッジ、IoTに対応するCanonicalのセキュアなオープンソース製品群すべての再販と統合の機会を提供します。GSIは今後、拡張性と自動化機能を備えたプラットフォームで顧客向けのソリューションを構築することにより、市場化までの時間短縮、顧客の運用コストの削減、企業顧客への最新のITの導入を可能にし、収益を増やすことができます。 Canonicalのアライアンス担当副社長であるRegis […]


© 2020 Canonical Ltd. Ubuntu および Canonical は、Canonical Ltd の登録商標です。