Nutanix Cloud Clusters on AWS クラスターの「AWS側」を覗いてみる

NC2 クラスター作成時に自動作成される AWS リソースをチェックしてみました。

#Nutanix

#AWS

西野亘

2024.08.29

大家好，AWS事業本部の西野です。

Nutanix Cloud Clusters on AWS の仕組みを理解するため、まずは構築された環境のAWS側の様子を覗いてみました。

前提条件

弊社の荒平が執筆した以下の記事で作成されたクラスターを対象にしています。
NC2 コンソールからクラスターを作成する際に指定するオプションによっては本記事に記載されていないリソースが作成されることもあるのでご注意ください。

構成図

できあがりの様子はこちらです。

nc2-on-aws-architecture-202408

AWSリソース

IAM

IAM ロール

クラスター作成時には AWSアカウントの関連付けを行います。
関連付けのために作成する CloudFormation スタックにより、以下の2つの IAM ロールが作成されます。

Nutanix-Clusters-High-Nc2-Cluster-Role-Prod
- EC2 ベアメタルインスタンスにアタッチされる。
Nutanix-Clusters-High-Nc2-Cluster-Role-Prod
- NC2 コンソール経由の API アクセスに使用される。

VPC

NC2コンソールから指定したCIDR（10.10.0.0/16）の VPC が作成されます。

Nutanix Cluster ABCDEFGHIJKL
- ABCDEFGHIJKLの部分は環境ごとに変化します。（以下同様）

サブネット

VPC 内に2つのサブネットが作成されます。

Nutanix Cluster ABCDEFGHIJKL public（10.10.1.128/28）
- Internet Gateway および NAT Gateway が作成されます。
  - この Internet Gateway および NAT Gateway を経由し、NC2 ポータルや AWS のサービスエンドポイントと通信します。
Nutanix Cluster ABCDEFGHIJKL management（10.10.1.0/25）
- EC2 ベアメタルインスタンスが作成されます。

いずれも管理用としてのサブネットであるため、UVM（ユーザー仮想マシン）用のサブネットを別途作成する必要があります。

セキュリティグループ

以下3つのセキュリティグループが作成されます。

Nutanix Cluster ABCDEFGHIJKL Internal Management
- クラスタ内の AHV（Acropolis Hypervisor）から CVM（Controller VM）への通信を制御します。
Nutanix Cluster ABCDEFGHIJKL User Management
- UVM から CVM への通信を制御します。
Nutanix Cluster ABCDEFGHIJKL UVM
- UVM の通信を制御します。
- 初期状態ではどの ENI にもアタッチされていません。UVM を作成し NIC を追加したタイミングで作成される ENI にアタッチされます。

これらのセキュリティグループは NC2 の世界で Default Security Groups と呼ばれていますが、Amazon VPCの Default Security Group とは異なる概念ですのでご注意ください。

ルートテーブル

public サブネットと management サブネットにそれぞれルートテーブルがアタッチされており、後者がメインルートテーブルです。
クラスター構成の条件を満たす限りルートを変更しても問題ありません。
詳細については以下のドキュメントをご参照ください。

Nutanix Cloud Clusters on AWS Deployment and User Guide | Configuring Routing

NACL

すべてのトラフィックを許可するデフォルト NACL のみが存在しています。
カスタムルールを追加することは許容されています。

You can use the default ACL, or you can create a custom ACL with rules that are similar to the rules for your security groups.
Nutanix Cloud Clusters on AWS Deployment and User Guide | AWS Components Installed より

EC2

ベアメタルインスタンス

NC2 コンソールから指定したインスタンスタイプの EC2 ベアメタルインスタンスが management サブネットにデプロイされます。

EBS

EC2 ベアメタルインスタンスに2つの EBS ボリューム（gp3）がアタッチされています。

AHV 用 EBS（100GB）
CVM 用 EBS（150GB）

NC2 Architecture

ENI

EC2 ベアメタルインスタンスに1つの ENI がアタッチされています。
この ENI には Internal Management および User Management セキュリティグループがアタッチされてます。
Nutanixはこの2つのセキュリティグループのルールを変更しないこと、ENI からデタッチしないことを推奨しています。
Internal Management および User Management セキュリティグループはクラスターを構成するEC2ベアメタルインスタンスの ENI にアタッチされます。
Nutanix はこの2つのセキュリティグループの「ルールを変更しないこと」、また、「ENI からデタッチしないこと」を推奨しています。

Note: Nutanix recommends that you do not modify Internal management and User management security groups or change any security group attachments.
Nutanix Cloud Clusters on AWS Deployment and User Guide | Default Security Group より

S3

S3 バケット

S3バケットが1つ作成されます。

nutanix-clusters-hb-[UUID]

Hibernationと呼ばれるクラスターの一時停止機能を使用すると、再稼働に必要なデータがこのS3バケットに保存されます。

Nutanix Cloud Clusters on AWS Deployment and User Guide | Hibernating Your NC2 Cluster

NC2コンソールによって作成されたリソースの確認方法

nc2-cloud-resources

NC2 コンソール > Organizations > Cluster > Cloud Resources の画面から、NC2コンソールによって作成された AWS リソースの ARN を確認できます。
NC2 コンソールを経由せず API やマネジメントコンソールなどで作成したリソースはここに含まれないのでご注意ください。