Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

ホストベースのファイアウォール

このトピックでは、Contrail Networking リリース 2003 で導入されたホストベースのファイアウォール機能について説明します。

ホストベースファイアウォールの概要

Contrail Networking リリース 2003 は、cSRX デバイスを使用した次世代ファイアウォールの作成を可能にするホストベース ファイアウォール機能の ベータ サポートを提供します。次世代ファイアウォールは、アプリケーションに基づいてパケットをフィルタリングする機能を提供します。アプリケーションレベルで侵入検出および防止機能を備えたディープパケットインスペクションを提供します。

これまで、vRouter は通常のレイヤー 4 ファイアウォール ポリシーの作成をサポートしてきました。Contrail Networkingは、レイヤー7のアプリケーションレベルのファイアウォールポリシーを作成するために、サービスチェイニングを使用します。ただし、サービスチェイニングは仮想ネットワークトラフィックの場合にのみ機能し、仮想ネットワーク内トラフィックには機能しません。ホストベースのファイアウォール機能は、同じ仮想ネットワークだけでなく、異なるネットワークで発生するトラフィックにも終わるトラフィックに次世代ファイアウォール機能を提供します。ファイアウォール インスタンスがパケット形式やレイヤー 2 ヘッダーを変更せず、レイヤー 7 ポリシーをパケットに適用するワイヤー モードで bump を使用します。

さらに、ホストベースのファイアウォール機能は、タグベースのポリシーを使用してトラフィックを誘導します。タグは、ファイアウォールインテントを適用するシンプルで直感的な方法であり、複数のVNにまたがる機能を備え、拡張性を高め、サービスチェーンとは対照的にVMIレベルでアタッチできます。タグベースのポリシーを使用して、トラフィックをホストベースのファイアウォールインスタンスに誘導できます。ホストベースのファイアウォールインスタンスにはかなりのコンピューティングリソースが必要なため、ポリシーを使用して特定のトラフィックのみを誘導します。

また、ホストベースのファイアウォールは、ワークロードに近い次世代ファイアウォール機能を提供し、サードパーティー製ファイアウォール機能と統合できます。

ホストベースファイアウォールの導入

ホストベースのファイアウォールを導入するには、次の手順を実行します。この例では、Kubernetes をオーケストレーション プラットフォームとして使用しています。Kubernetes は、選択したコンピューティング ノードでホストベースのファイアウォール インスタンスを柔軟にインスタンス化できるからです。ステップの大まかなリストは次のとおりです。

前提 条件

Contrail-ansible deployer または Contrail Command のいずれかを使用して、Contrail-Kubernetes セットアップをインストールします。Contrail コマンド UI を使用した Kubernetes クラスタのプロビジョニング または スタンドアロン Kubernetes Contrail クラスタのインストールを参照してください。

トポロジ

次のサンプル Contrail-Kubernetes トポロジーと instances.yml ファイルを 検討してください。

図 1:Contrail-Kubernetes トポロジー Sample Contrail-Kubernetes Topologyの例

サンプル instances.yaml ファイル

導入手順

手順

手順

ホストベースのファイアウォールを導入します。

  1. Kubernetes で名前空間を作成します。名前空間が Contrail で同等のプロジェクトを作成します。

    手順
    1. 名前空間を作成します。

    2. 名前空間の分離を有効にします。

    3. 名前空間の作成を検証します。

  2. ホストベースファイアウォール機能のコンピューティングノードにラベルを付けます。

    手順

    1. コンピューティング ノードのリストを取得します。

    2. ホストベースファイアウォール機能のノードを選択し、ラベル付けします。

      Kubernetesノード名はどこに server あり、 hbf はラベルです。

  3. cSRXイメージをプルするために前に作成した名前空間にKubernetesシークレットオブジェクトを作成します。

  4. 以前に作成した hbs 名前空間にオブジェクトを作成します。

    手順
    1. 以下のコンテンツを含む python ファイルを作成し、config_api Docker コンテナで次のコマンドを使用します。

  5. ホストベースファイアウォールインスタンスのデーモンセットを作成します。デフォルトでは、ホストベースのファイアウォールインスタンスは、すべてのコンピューティングノードで実行されます。 2.bに示すように、特定のコンピューティングノード上でのみホストベースのファイアウォールインスタンスを実行するように選択できます。ホストベースのファイアウォールインスタンスには、3つのインターフェイスがあります。トラフィックは左のインターフェイスに流れ、ファイアウォール機能はパケットで実行され、トラフィックは正しいインターフェイスから流れ出ます。管理インターフェイスは、デフォルトのポッドネットワークです。

    手順
    1. 次の例に示すように 、ds.yaml ファイルを生成して、cSRXコンテナイメージでデーモンセットを作成します。左右のインターフェイスが自動的に作成され、オブジェクトに hbs 「左」と「右」でリンクされるため、ホストベースのファイアウォール用にマークされたトラフィック フローが cSRX デバイスを経由します。Kubernetes オブジェクトの名前と値は、要件に従って変更できます。

    2. Kubernetesオブジェクトを作成すると、各名前空間の各コンピューティングノード上に左右のインターフェイスを備えたcSRXポッドが作成されます。

    3. オブジェクト、デーモンセット、ネットワーク添付ファイルの定義、およびcSRXポッドを確認します。

    4. 各コンピューティングノードでデーモンセットのcSRXポッドを以下の設定で設定します。

  6. vnc API または Contrail Command を使用して、左右のインターフェイス間にネットワーク ポリシーを作成します。

    ネットワークポリシーは、仮想ネットワーク間のトラフィックにのみ必要であり、仮想ネットワーク内トラフィックには必要ありません。

  7. ファイアウォールポリシーを作成し、ファイアウォールルールに対してホストベースのファイアウォールを有効にします。

    プロジェクトスコープのルールの下に、タグ、アプリケーションポリシーセット(APS)を作成し、ファイアウォールポリシーとファイアウォールルールを作成します。ファイアウォール ルールに基づいてホストベースのファイアウォールを有効にし、host_based_service = True に設定します。

  8. トラフィックがホストベースのファイアウォールを通過すると、対応するコンピューティングノード上のcSRXが、ホストベースのファイアウォールフローとそれぞれのセッションを作成します。

リリース履歴テーブル
リリース
説明
2003
Contrail Networking リリース 2003 は、cSRX デバイスを使用した次世代ファイアウォールの作成を可能にするホストベース ファイアウォール機能の ベータ サポートを提供します。