 本記事は TechHarmony Advent Calendar 2025 12/9付の記事です。 |
Catoクラウドの管理機能「Advanced Groups」について紹介します。
はじめに:GroupsとAdvanced Groups
Catoクラウドの設定、運用管理を行う上で、「『工場』に該当する拠点からのアクセスのみを許可/拒否するようにしたい」「いくつかの特定IPレンジに対するルールを設定したい」など、複数の対象をひとまとめに扱いたいという状況に直面することが考えられます。
こういった需要に応える機能が、2025年に入ってから実装された「Advanced Groups」です。
……しかし、Catoには以前から同じような用途の「Groups」機能が存在していました。
「Advanced Groups」は「Groups」の名前を変えたものではなく、別機能として従来の「Groups」と共存しています。
では、何が違うのか?
この記事では、「Advanced Groups」がどうAdvancedなのか、これまでの「Groups」との違いを解説していきます。
Advanced Groupsのメリット
「Advanced Groups」には、既存の「Groups」よりも優れた点が複数存在します。
メンバーにできる属性が多い
「Groups」と「Advanced Groups」は、メンバーとして入れられる項目の属性が異なります。
2025/12現在、「Advanced Groups」でしか指定できない属性が存在する一方で、逆はありません。この点においては、「Advanced Groups」は既存の「Groups」を上回っています。
なお、「Advanced Groups」にて指定できる属性は今後も追加予定とアナウンスされています。
| 「Groups」での属性名 | 「Advanced Groups」 での属性名 |
備考 |
| Site | Site | |
| Network Interface | Network Interface | |
| Interface Subnet | Site Network Subnet | Advanced Groupsでは、 「Interface Subnet」と「Grobal Range」が 「Site Network Subnet」に統合されています。 |
| Grobal Range | ||
| Floating Subnet | Floating Subnet | CMAの[Resources] > [Floating Ranges]にて定義したFloating Rangeを選択できます。 |
| Hosts | Hosts | 各Siteの[Site Configuration > Static Host Reservations]にて、Static Hostとして登録したHostsを選択できます。 |
| – | Global IP Range | CMAの[Resources] > [IP Ranges]にて定義したIP Rangeを選択できます。 「Advanced Groups」でしかメンバーにできない属性です。 |
メンバー属性の識別機能
「Groups」「Advanced Groups」は共に様々な属性のオブジェクトをまとめて登録することができますが、それぞれの属性は使用する目的が微妙に異なります。
例えば、「Link Health Rule」はSiteの状態を監視して条件を満たした場合にメールで自動連絡をさせることが可能な機能です。この機能が「Source」として指定する対象は当然Siteであり、IPレンジでの指定には対応していません。
しかし、上記の状況で「Source」としてGroupsを使用すると、IPレンジがメンバーとして登録されているGroupを対象に指定できてしまいます。
幸い、この例であればCato側で無視されるため問題は生じませんが、誤設定に気が付かない、思わぬ不具合の引き金になるといったリスクが存在します。
「Advanced Groups」はこの問題を解決します。
Catoが自動的に「メンバーと設定しようとしている項目に互換性があるか」をチェックし、
互換性のないAdvanced Groupは選択肢に表示されないようになっています。
さらに、何らかのポリシーに利用されているAdvanced Groupは、
互換性が無くなるようなメンバーの追加がブロックされるように制御されます。
不具合の危険を排除できるほか、使えない属性のGroupが大量表示されて本命を探すのが大変……といった悩みも解決できるうれしい機能です。
充実した管理機能
「Advanced Groups」は、既存の「Groups」と比べてUIや管理機能が大幅に向上しています。
簡単に判別できる一覧UI
従来の「Groups」の一覧は、名前とDescriptionだけが表示される仕様です。
このため、似たような名前のGroupが多数存在する場合、「どれがどれだかわからない」問題が発生する恐れがありました。
もちろんDescriptionに詳しく書けば対策にはなりますが、更新されているかどうかまでは中を見なければわかりません。
一方、「Advanced Groups」は、入っているメンバーの属性と数、最終変更日、変更者まで一覧で確認できるようになりました。
これにより、各Advanced Groupがどのような目的のものなのか、大幅に判別しやすくなっています。また、最終変更日が確認できるため、「許可していない対象を勝手に追加する」といった行為が万一発生した場合でもすぐに特定可能であり、変更者表示から誰の作業で変更されたのかも確認可能です。セキュリティ面も大きく向上していると言えます。
RBAC機能に完全対応
「Advanced Groups」は、RBAC(Role-Based Access Control)機能に対応しています。
CMAの[Account] > [Administrators]から、管理者ユーザ毎に、Advanced Group個別で編集権限 / 閲覧権限を付与可能です。大きな組織で、各拠点の管理者には対応するAdvanced Groupだけの編集を許可する……といった運用が可能です。
この項目は従来の「Groups」も対象として追加はできるのですが、
メンバーが「Site」のGroup以外を指定した場合は機能しないという仕様がありました。
「Advanced Groups」ではそのようなことは無く、どのような属性のメンバーが入ったAdvanced Groupであっても個別の権限設定が可能です。
APIでの編集にも対応
「Groups」はCMAでの手動更新にのみ対応していますが、「Advanced Groups」はAPIでの設定に対応しています。大規模な設定変更や、メンバーが大量に存在する場合の管理に力を発揮することが期待されます。
Advanced Groupsのデメリット
「Advanced Groups」は比較的最近になって実装された機能であるため、制約も少なからず存在します。
DNSやDHCPの設定には未対応
既存の「Groups」は、各Groupに紐づける形でDNS、DHCPの設定を行うことが可能です。
一方、「Advanced Groups」は2025/12現在、これに対応していません。
グループ個別でのDNS設定を行いたい、といった場合は既存のGroupを使用する必要があります。
(機能追加予定とされていますが、時期は未定です。)
設定先に使える場所が少ない
2025/12月現在、「Advanced Group」を対象として利用できるのはInternet FirewallとWAN Firewallだけとなっています。
せっかくのメンバー属性識別機能も、現状では使える場所が少なすぎてまともに機能しないというのが現実です。
こちらも対象は順次追加予定であるようなので、今後に期待しておきましょう。
おわりに
「Advanced Groups」機能は、既存の「Groups」では手の届かない細かなアップデートが光る一方、実用性はまだ発展途上といえる機能です。
Catoは今後「Advanced Groups」を主流としていく方針を発表しており、いずれは利用可能箇所も大きく増加することが見込まれます。
既存の「Groups」も併存していますが、今のうちに少しずつ触れてみても良いかもしれません。