MAASにおけるマルチテナンシー

by Canonical on 4 October 2019

本ブログでは、MAAS（Metal as a Service）におけるマルチテナンシーの概念について説明します。マルチテナンシーにより、オペレーターは複数の異なるユーザーグループに対して、他のユーザーグループについて一切関知することなしに1つのリソース（マシン）グループを提供できるため、マシンの稼働率が向上します。

一般に、中規模から大規模の環境は、ユーザーやユーザーグループごとに異なるマシン群を提供する目的で使用されます。MAASではもともと、ユーザーが将来使用するマシンを予約（割当）できるようにすることで、この用途に対応していました。しかし、MAAS 2.4でリソースプールの概念を導入しました。

リソースプールとロールベースアクセス制御

リソースプールとは、物理リソースおよび仮想リソースを管理する新しい方法です。1つ以上のマシンを配置できる「バケツ」とも言えます。1つのマシンは1つのリソースプールにのみ存在できます。

しかし、マシンをリソースプールによって整理したとして、各ユーザーやグループに異なるリソースプールを割り当て、かつ他のユーザーに割り当てられたリソースを見せないようにするにはどうすればよいでしょうか？　これにはRBACを利用します。

ロールベースアクセス制御（Role-based access control：RBAC）は、上記の機能を提供する外部のマイクロサービスとしてMAASでサポートされています。CanonicalのRBACサービスでは、管理者が所定のリソースプールにアクセスできるユーザーまたはグループ、およびそれらのユーザーまたはグループがリソースプール内で果たすロールを選択できま

RBACではマルチテナンシー環境に柔軟に対応できるように4つのロールが提供されています。

• 管理者（Administrator）：MAASの現在の管理者ユーザーにマップされます。
• オペレーター（Operator）：リソースプールの中で管理権限を提供します。
• ユーザー（User）：MAASの現在の非管理者ユーザーにマップされます。
• 監査担当者（Auditor）：情報の読み取りのみが可能です。

MAASでは物理リソースと仮想リソースがリソースプールに整理され、リソースへのアクセスがRBACにより阻止されますが、認証はどうするのでしょうか？　ユーザーまたはユーザーグループのソースはどこでしょうか？

認証に関して言えば、CanonicalのID管理サービスであるCandidがMAASおよびRBACに組み込まれています。Candidは、LDAP、Active Directory、SSOなどと統合された集中認証サービスです。MAASの場合、CandidがユーザーまたはユーザーグループのソースとなるLDAP認証を提供します。

これにより管理者は既存の認証システムを引き続き使用しながら、それらをシームレスにMAASおよびRBACに組み入れることができます。

これがマルチテナンシー？

上記のとおり、MAASはリソースプール、RBAD、LDAP（とCandid）を活用してマルチテナンシーを実現します。MAAS内の管理者は、組織内の特定のユーザーまたはグループが1つまたは複数のリソースプールのみにアクセスできるようにすることができます。 

なぜこれがマルチテナンシーになるのでしょうか？　それは、ユーザー（またはユーザーグループ）はアクセス権のあるリソースプール内のリソースにしかアクセスできず、他のリソースプールの存在を知らないからです。この完全な分離により、大規模な環境でも中小企業（SMB）でもMAASを柔軟に活用できるのです。 
詳細は, までお問い合わせください。