Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

JCNRを使用したサービスチェーン(cSRX)の導入

このセクションは、Cloud-Native Routerを使用してセキュリティサービスインスタンス(cSRX)をカスタマイズして導入する場合にお読みください。

リリース23.4以降、Juniper Cloud-Native Router(JCNR)を ジュニパーのコンテナ化SRX(cSRX) プラットフォームと統合して、IPsecなどのセキュリティサービスを提供できます。この機能は、ホストベースのサービスチェイニングを使用して実現されます。クラウドネイティブルーターは、同じKubernetesクラスター内でセキュリティサービスインスタンス(cSRX)と連鎖されます。cSRXインスタンスは、L3モードのポッドサービスとして実行されます。cSRXインスタンスはカスタマイズされ、Helm Chartを介して導入されます。

cSRXヘルムチャートのカスタマイズ

cSRXサービスチェイニングインスタンスは、ヘルムチャートを介して導入されます。構成パラメーターは、 values.yaml マニフェスト ファイルを介して提供されます。展開は、次の 2 つの重要なコンポーネントで構成されます。

  • csrx-init:メインのcSRXアプリケーションのコンフィギュレーションを準備するinitコンテナです。マニフェストファイルから必要な情報 values.yaml を抽出して処理し、cSRXの設定データを生成します。これにより、メインのcSRXアプリケーションが有効な最新の設定で起動するようになります。

  • csrx:cSRXは、cSRX導入のメインアプリケーションコンテナであり、コアコンポーネントです。これは、コンテナーによって提供される構成 csrx-init に依存して正しく機能します。

マニフェストファイルで設定パラメータの範囲を指定することで、 values.yaml cSRXの導入をカスタマイズできます。主な構成オプションは次のとおりです。

  • interfaceType:JCNRに接続するcSRX上のインターフェイスのタイプです。のみに設定 vhost する必要があります。

  • interfaceConfigs:これは、インターフェイスIPアドレス、ゲートウェイアドレス、およびオプションでルートを定義する配列です。インターフェイス IP は、localAddressipSecTunnelConfigs配列内の要素と一致する必要があります。ルートには、復号されたトラフィックを JCNR に誘導するためのプレフィックスと、IPSec ゲートウェイの到達可能性ルートが含まれている必要があります。

  • ipSecTunnelConfigs: IKE-phase1、プロポーザル、ポリシー、ゲートウェイ構成などのIPsec構成の詳細を定義するアレイです。トラフィックセレクターには、暗号化されることが予想されるトラフィックが含まれている必要があります。

  • jcnr_config:これは、JCNRからcSRXへのトラフィックを誘導し、セキュリティサービスチェーンを適用するためにリモートIPsecゲートウェイからcSRXにIPsecトラフィックを誘導するために、JCNRで設定されるルートを定義する配列です。

cSRX導入用のvalues.yamlの例を次に示します。

cSRXをインストールする

cSRXサービスチェーンは、JCNRの導入後に導入されます。cSRXインスタンスをインストールするには、このセクションをお読みください。

  1. 最新のcSRXインストールバンドルをダウンロードして展開していることを確認してください。junos_csrx_release_number ディレクトリにいる必要があります。

  2. 導入にはcSRXコンテナイメージが必要です。次のいずれかのオプションを選択できます。
    1. ジュニパーのリポジトリからイメージをダウンロードしてデプロイします—enterprise-hub.juniper.net。デプロイ Helm チャートでリポジトリ資格情報を構成する方法については、「 リポジトリ資格情報の構成」 トピックを確認してください。
    2. コマンドを使用して、cSRXイメージをローカルのDockerまたは独自のDockerリポジトリ docker load にアップロードできます。イメージは junos_csrx_release_number/images ディレクトリにあります。
  3. ファイルにcSRXライセンス secrets/csrx-secrets.yaml を入力します。パスワードとライセンスは base64 エンコード形式で入力する必要があります。ファイルのサンプルの内容 csrx-secrets.yaml を以下に示します。

    ライセンス ファイルをエンコードするには、ライセンス ファイルをホスト サーバーにコピーし、次のコマンドを発行します。

    base64 出力をコピーして、 secrets/csrx-secrets.yaml ファイルの適切な場所に貼り付ける必要があります。

    メモ:

    アカウント チームからライセンス ファイルを取得し、上記の手順に従って secrets.yaml ファイルにインストールする必要があります。csrx-init コンテナはライセンスチェックを実行し、必要なシークレット service-chain-instance が見つかった場合にのみ続行します。

  4. csrx-secrets.yaml Kubernetesシステムに適用します。

  5. cSRXインスタンスをインストールする前に、JCNRのすべてのコンポーネントが稼働していることを確認してください。

  6. cSRXヘルムチャートをカスタマイズしたことを確認します。junos_csrx_release_number/helmchart ディレクトリに移動します。バンドルを展開してヘルムチャートを表示します。values.yaml を設定するには、上記の例を参照してください。junos_csrx_release_number/helmchart/junos-csrx ディレクトリに移動し、次のコマンドを発行して cSRX インスタンスをインストールします。