Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Elastic Kubernetes Service(EKS)を使用した AWS での cSRX 導入について

概要 このトピックでは、AWS Elastic Kubernetes Service(EKS)を使用した AWS クラウドの cSRX Kubernetes Orchestration の概要を説明します。

Kubernetesを使用したcSRXについて

cSRXコンテナファイアウォールは、メモリフットプリントが低いSRXシリーズサービスゲートウェイのコンテナ化バージョンです。cSRXは、コンテンツセキュリティ、AppSecure、統合脅威管理などの高度なセキュリティサービスをコンテナで提供します。Docker コンテナを使用することで、各コンテナが Linux ホストの OS カーネルを共有するため、cSRX はオーバーヘッドを大幅に削減できます。Linux サーバーがホストするコンテナの数に関係なく、1 つの OS インスタンスのみが使用されます。また、コンテナの軽量品質により、サーバーは仮想マシン(VM)よりも多くのコンテナ インスタンスをホストでき、利用率が大幅に向上します。cSRXコンテナファイアウォールは、コンパクトなフットプリントとDockerをコンテナ管理システムとして使用し、俊敏で高密度なセキュリティサービスの導入を可能にします。

Kubernetes(K8s)は、コンテナ化されたアプリケーションの導入、拡張、管理を自動化するオープンソースシステムです。k8sのサポートにより、cSRXはクラスター内で柔軟なファイアウォールサービスとして実行され、仮想マシンと比較してフットプリントが小さくなります。アプリケーションを論理ユニットにグループ化し、管理と検出を容易にします。K8s クラスタで実行されている cSRX には、次のようなメリットがあります。

  • よりコンパクトなフットプリントでサービスを実行

  • cSRX のスケールアウトとスケールを高速化

  • 自動化された管理と制御されたワークフロー

K8s は、システム リソース(CPU、メモリ、またはその他のカスタム メトリック)に基づいて、ノードの分散クラスター全体でコンテナ化されたアプリケーションをオーケストレーションするメカニズムを一括で提供する一連の構築オブジェクトを定義します。K8s は、必要な機能に REST API を提供することで、コンテナのグループの管理の複雑さを隠します。

ノードは、サーバーなどのクラスター内の論理ユニットを指し、物理または仮想のいずれかが可能です。Kubernetes クラスタのコンテキストでは、通常、ノードはワーカー ノードを具体的に指します。クラスター内の Kubernetes ノードは、エンド ユーザー アプリケーションを実行するマシンです。

Kubernetes クラスターには 2 種類のノードがあり、それぞれが適切に定義された一連のプロセスを実行します。

  • ヘッドノード:プライマリーノードまたはプライマリノードとも呼ばれ、すべての思考を行い、すべての決定を行う頭と脳です。すべてのインテリジェンスが揃っています

  • ワーカーノード:ノード、またはミニオンとも呼ばれ、従業員を行う手と足です。

ほとんどの場合、ノードはプライマリによって制御されます。

クラスターとユーザー間のインターフェースは、コマンドライン・ツールの kubectl です。クライアントアプリケーションとして、同じプライマリノードまたは別のマシンにインストールされます。

Kubernetesのオブジェクトは次のとおりです。

  • ポッド

  • サービス

  • ボリューム

  • 名前 空間

  • レプリケーション

  • コント ローラー

  • レプリカセット

  • 展開

  • ステートフルセット

  • デーモンセット

  • ジョブ

図 1:Kubernetes cSRX Service in Kubernetes の cSRX サービス

K8sの導入では、フランネルと Weave CNI の両方で Multus を使用できます。

cSRXを備えたKubernetesノードポート/イングレスコントローラをサポートするために、環境変数CSRX_MGMT_PORT_REORDERにより、cSRXはコンテナ管理インターフェイスを収益インターフェイスとして使用できます。cSRXを備えたKubernetesノードポート/イングレスコントローラ機能は、Flannel/Weave CNIでのみサポートされています。CSRX_MGMT_PORT_REORDERを「yes」に設定すると、管理ポートの動作の再構成を明示的に制御できます。Multus CNIを使用してcSRXに接続されたインターフェイスへのcSRXシェルやSDディスカバリーへのアクセスと同様です。

たとえば、CSRX_MGMT_PORT_REORDER=yesでcSRXを eth0/eth1/eth2 で起動した場合、新しい管理インターフェイスとして eth2 を使用できます。

メモ:

この eth2 へのトラフィック転送は、ユーザーが明示的に定義した iptables ルールを介して行う必要があります。

cSRXでサポートされている機能の概要については、 cSRXでサポートされているJunos OS機能を参照してください。

AWS における cSRX Kubernetes オーケストレーションの概要

AWSは、マネージドKubernetes(K8s)サービスを提供します。これらのマネージドサービスは、K8s環境の設定と運用への依存を減らすことで、メリットがあります。Multus CNIを使用したK8s環境におけるcSRXのオーケストレーションと管理はすでにサポートされています。K8sをサポートすることで、cSRXとその環境の他のコンテナワークロードを導入、管理、オーケストレーションできるようになりました。

cSRXコンテナファイアウォールは、コンテンツセキュリティ、侵入防御システム(IPS)、AppSecure、統合脅威管理(UTM)などの高度なセキュリティサービスで、コンテナ化された環境を保護します。

利点:

  • 自動化されたサービス プロビジョニングとオーケストレーション

  • 分散型およびマルチテナンシーのトラフィック保護

  • コンパクトなフットプリントで拡張性に優れたセキュリティ サービス

現在、Multus CNIを使用したK8s(Kubernetes)環境におけるcSRXのオーケストレーションと管理がサポートされています。cSRXは、Kubernetesサービスまたはポッドとして導入できます。Kubernetesのサポートにより、クラスター内のcSRXで展開、管理、オーケストレーション、スケールアウト、拡張が可能になり、AWS環境の他のコンテナワークロードと同様に、アプリケーションコンテナに柔軟なファイアウォールサービスを提供できます。

詳細については、 cSRX 導入ガイド Kubernetes を参照してください。

AWSは、マネージドK8sをサービスの一部として短いサービスで提供しています。これらのマネージドサービスでは、K8s環境の設定と運用への依存を減らすことで、メリットを得ることができます。また、パブリッククラウドプラットフォーム上のパブリッククラウドでワークロードを保護するために、コンテナ化されたファイアウォール(cSRX)を導入するオプションも提供される必要があります。コンテナワークロードに移行する企業は、コンテナの管理とオーケストレーションにK8sを使用していますが、AWS(およびGCPおよびMicrosoft Azure)が提供するサービスは、使いやすさと低いメンテナンスに対する需要を高めています。

AWS では、コンテナに対して 、Elastic Container Service(ECS)Elastic Kubernetes Service(EKS)の 2 つのオーケストレーション サービスを提供します。

Elastic Kubernetes Service(EKS): これは完全に管理されたKubernetesサービスです。オープンソースのKubernetesを適応させ、オープンソースバージョンを完全にサポートします。EKSはAmazonのマネージドサービスで、AWSクラウド上でのKubernetesアプリケーションの実行をサポートします。EKSは、高可用性を提供する複数のゾーンにKubernetesコントロールプレーンを設定するのに役立ちます。EKSは、必要に応じて、問題のあるコントロールプレーンインスタンスを検出し、自動バージョンアップグレードとパッチに置き換える機能を備えています。EKS は、認証用のコンテナ イメージ、ID およびアクセス管理(IAM)ロール、ネットワーク分離用 AWS VPC、負荷分散用の Elastic Load Balancing を保持する Elastic Container Registry(ECR)と完全に統合されています。

AWSクラウドでcSRXを導入および管理するには、Elastic Kubernetes Services(EKS)オーケストレーションを使用して、個人所有ライセンス(BYOL)ライセンスモデルを使用してクラスター管理を行います。

Amazon Elastic Kubernetes Service

Amazon Elastic Kubernetes Service(Amazon EKS)では、AWS クラウドまたはオンプレミスで Kubernetes アプリケーションを柔軟に開始、実行、拡張できます。Amazon EKS は、高可用性でセキュアなクラスターの提供を支援し、パッチ適用、ノード プロビジョニング、更新などの主要なタスクを自動化します。

EKSはアップストリームのKubernetesを実行し、予測可能なエクスペリエンスに適合したKubernetes認定を受けます。コードを再ファクタリングする必要なく、標準的な Kubernetes アプリケーションを EKS に簡単に移行できます。

EKSにより、すべての環境で運用を簡単に標準化できます。AWS上で完全に管理されたEKSクラスターを実行できます。Amazon EKS で一貫した運用を行いたい場合でも、オープン ソースで実証済みの Kubernetes の配信が可能です。オンプレミスおよびエッジで Kubernetes クラスタをホストおよび運用し、Amazon EKS で一貫したクラスタ管理を行うことができます。

オープンソースのKubernetes機能を AWSクラウド上の弾力性のあるKubernetesソリューション(EKS)で完全に利用できます。Kubernetesの最新アップデートはすべてEKSフレームワークで利用できます。

cSRXは、EC2インスタンスを持つEKSでのみサポートされています。EKSは、Amazonクラウドウォッチ、自動スケーリンググループ、AWSアイデンティティおよびアクセス管理(IAM)、Amazon Virtual Private Cloud(VPC)と完全に統合されており、クラウドアプリケーションを監視してロードバランスするシームレスな環境を実現します。

AWS と EKS は、2 つの異なるゾーンで動作する拡張性に優れたコントロール プレーンを提供し、高可用性のサポートを提供します。EKSはオープンソースのKubernetesと完全に互換性があり、あらゆる標準的なKubernetesアプリケーションをEKSに簡単に移行できます。

図 2:AWS EKS 抽象化アーキテクチャ AWS EKS Abstraction Architecture

AWS独自のMultusとフランネルCNIは、EKSクラスターの導入に対応しています。

利点

cSRXは、Kubernetesなどの他の次世代クラウドオーケストレーションツールとも統合します。

cSRXにより、これまでは存在しなかったセキュリティの適用ポイントが追加され、Kubernetesの導入に最も包括的なネットワークセキュリティを提供します。

  • 効率的で費用対効果の高い AWS をコンテナ化されたクラウドベースのマイクロサービスに移行することで、コスト削減、ブート時間の短縮、可視性の向上を活用しながら、パブリック クラウドとプライベート クラウド環境で同じセキュリティ態勢を維持できます。

  • 非常に俊敏で拡張性に優れたmposesは、コンパクトなフットプリントで、コンテナの筐体で俊敏性と高度なセキュリティサービスを提供します。

    cSRXは、Dockerコンテナ管理ソリューションによるアプリケーション保護やマイクロセグメンテーションなど、さまざまなユースケースを対象に、容易で柔軟性と拡張性に優れた導入オプションをサポートします。

    サービスとして導入されたcSRXは、オンデマンドでcSRXをスケールアップおよびスケールダウンできます。ファイアウォールとして機能し、高度な豊富なサービスを構成することで、クラスターに導入されたワークロードを保護します。

    導入の中には、大規模に拡張できる俊敏性と軽量のセキュリティ VNF が必要な場合があります。このような導入では、VMベースのVNFは拡張性に優れたソリューションではなく、コンテナベースのセキュリティVNFが必要です。

  • 可用性とオブザーバビリティの向上 -ネットワーク機能サービス チェーンに参加し、必要に応じて個々のネットワーク機能に合わせて拡張できる高可用性とコンテナ化されたセキュリティを提供します。

  • 極めてセキュアな環境:NETCONF および Security Director で管理を柔軟に行い、Kubernetes などのサードパーティー製の管理ツールやクラウド オーケストレーション ツールとの統合をサポートします。

    また、EKS では、クラスタのコントロール プレーンに最新のセキュリティ パッチが適用され、クラスタのセキュリティが確保されます。