14.5 NNMiセキュリティとマルチテナントをグローバルネットワーク管理に定義する
グローバルネットワーク管理環境では,ノードのテナントは,そのノードを管理するNNMi管理サーバーに設定されます。グローバルネットワーク管理環境では,指定されたノードのテナントUUIDは各グローバルマネージャーとリージョナルマネージャーで同じです。
ノードのセキュリティグループは,トポロジにそのノードが含まれる各NNMi管理サーバーに設定されます。したがって,トポロジ内のオブジェクトへのユーザーアクセスは,グローバルネットワーク管理環境の各NNMi管理サーバーに別個に設定されます。グローバルマネージャーとリージョナルマネージャーが使用するセキュリティグループ定義は,同じである場合も,異なる場合もあります。
グローバルマネージャーとリージョナルマネージャーに同様のユーザーアクセスを設定する場合,幾つかの方法を使用して設定することもできますが,大部分の場合,各NNMi管理サーバーにカスタム設定する必要があります。
- ヒント
グローバルマネージャーにすべてのテナントとセキュリティグループを定義します。nnmconfigexport.ovpl -c securityを使用して,テナントとセキュリティグループ定義をエクスポートします。各リージョナルマネージャーで,nnmconfigimport.ovplを使用してテナントとセキュリティグループ定義をインポートします。あるいは,nnmsecurity.ovplコマンドを使用して,別のNNMi管理サーバーのUUIDと同じUUIDを使用して,テナントおよびセキュリティグループを作成できます。この推奨手順に従うことで,グローバルネットワーク管理環境内で,各テナントとセキュリティグループのUUIDを同じにできます。
ユーザーがグローバルマネージャーからNPSレポートを開始する場合,このベストプラクティスは設定の必須部分になります。
テナントUUIDは一意である必要がありますが,テナント名は再利用できます。NNMiは,名前が同じでUUIDが異なる2つのテナントを,共有設定を持たない2つの別個のテナントであると見なします。
組織ごとに1つのリージョナルマネージャーをセットアップする場合は,リージョナルマネージャーのすべてのノードを1つのテナントに入れられます。ただし,各リージョナルマネージャーに一意のテナントを設定し,グローバルマネージャーでトポロジデータが確実に分離されるようにしてください。
リージョナルマネージャーからグローバルマネージャーに転送されたインシデントに,セキュリティ情報とテナント情報を伝達する幾つかの追加カスタムインシデント属性(CIA)が含まれる場合があります。
このようなインシデントのソースオブジェクトがデフォルトテナント以外のテナントに属している場合,転送されるインシデントには次のCIAが含まれます。
cia.tenant.name
cia.tenant.uuid
このようなインシデントのソースオブジェクトが[デフォルトのセキュリティグループ]以外のセキュリティグループに属している場合,転送されるインシデントには次のCIAが含まれます。
cia.securityGroup.name
cia.securityGroup.uuid