MAASにおけるマルチテナンシー

by Canonical on 4 October 2019

本ブログでは、MAAS(Metal as a Service)におけるマルチテナンシーの概念について説明します。マルチテナンシーにより、オペレーターは複数の異なるユーザーグループに対して、他のユーザーグループについて一切関知することなしに1つのリソース(マシン)グループを提供できるため、マシンの稼働率が向上します。

一般に、中規模から大規模の環境は、ユーザーやユーザーグループごとに異なるマシン群を提供する目的で使用されます。MAASではもともと、ユーザーが将来使用するマシンを予約(割当)できるようにすることで、この用途に対応していました。しかし、MAAS 2.4でリソースプールの概念を導入しました。

リソースプールとロールベースアクセス制御

リソースプールとは、物理リソースおよび仮想リソースを管理する新しい方法です。1つ以上のマシンを配置できる「バケツ」とも言えます。1つのマシンは1つのリソースプールにのみ存在できます。

しかし、マシンをリソースプールによって整理したとして、各ユーザーやグループに異なるリソースプールを割り当て、かつ他のユーザーに割り当てられたリソースを見せないようにするにはどうすればよいでしょうか? これにはRBACを利用します。

ロールベースアクセス制御(Role-based access control:RBAC)は、上記の機能を提供する外部のマイクロサービスとしてMAASでサポートされています。CanonicalのRBACサービスでは、管理者が所定のリソースプールにアクセスできるユーザーまたはグループ、およびそれらのユーザーまたはグループがリソースプール内で果たすロールを選択できま

RBACではマルチテナンシー環境に柔軟に対応できるように4つのロールが提供されています。

  • 管理者(Administrator):MAASの現在の管理者ユーザーにマップされます。
  • オペレーター(Operator):リソースプールの中で管理権限を提供します。
  • ユーザー(User):MAASの現在の非管理者ユーザーにマップされます。
  • 監査担当者(Auditor):情報の読み取りのみが可能です。

MAASでは物理リソースと仮想リソースがリソースプールに整理され、リソースへのアクセスがRBACにより阻止されますが、認証はどうするのでしょうか? ユーザーまたはユーザーグループのソースはどこでしょうか?

認証に関して言えば、CanonicalのID管理サービスであるCandidがMAASおよびRBACに組み込まれています。Candidは、LDAP、Active Directory、SSOなどと統合された集中認証サービスです。MAASの場合、CandidがユーザーまたはユーザーグループのソースとなるLDAP認証を提供します。

これにより管理者は既存の認証システムを引き続き使用しながら、それらをシームレスにMAASおよびRBACに組み入れることができます。

これがマルチテナンシー?

上記のとおり、MAASはリソースプール、RBAD、LDAP(とCandid)を活用してマルチテナンシーを実現します。MAAS内の管理者は、組織内の特定のユーザーまたはグループが1つまたは複数のリソースプールのみにアクセスできるようにすることができます。 

なぜこれがマルチテナンシーになるのでしょうか? それは、ユーザー(またはユーザーグループ)はアクセス権のあるリソースプール内のリソースにしかアクセスできず、他のリソースプールの存在を知らないからです。この完全な分離により、大規模な環境でも中小企業(SMB)でもMAASを柔軟に活用できるのです。 
詳細は, までお問い合わせください。

関連記事

Canonical、Amazon Web Services向けUbuntu Proを発表

セキュリティの拡張やカーネルライブパッチなどを備えた新たなプレミアムUbuntuイメージ Canonical(本社:英国・ロンドン、CEO:Mark Shuttleworth)は本日、Amazon Web Services(AWS)向けのUbuntu Proイメージの提供を開始したことを発表しました。これらの新しいプレミアムイメージはAWS Marketplaceで入手可能であり、またUbuntu 14.04 LTS、16.04 LTS、18.04 LTSに対応しています。これによって企業は、イメージを選択してAmazon Elastic Compute Cloud(Amazon EC2)上で稼働させるだけで、メンテナンスの延長、セキュリティ対象範囲の拡大、重要なコンプラ […]