このページ
Kubernetes による cSRX について
コンテナ化されたSRX(cSRX)は、Dockerコンテナをベースにした仮想セキュリティソリューションで、俊敏で弾力性があり、コストを削減するセキュリティサービスを提供し、包括的なL7セキュリティ保護を実現します。
Kubernetes(K8s)は、コンテナ化されたアプリケーションの導入、拡張、管理を自動化するためのオープンソースシステムです。k8sのサポートにより、cSRXは、仮想マシンと比較してフットプリントを小さくして、柔軟なファイアウォールサービスとして実行されているクラスタ内でスケールアウトできます。K8s クラスタで実行されている cSRX には、次のようなメリットがあります。
よりコンパクトなフットプリントでサービスを実行
cSRX の迅速なスケールアウトと拡張が可能
自動化された管理と制御されたワークフロー
K8s の導入では、Flannel と Weave CNI の両方で Multus を使用できます。
kubernetes Node Port/IngressコントローラとcSRXをサポートするために、環境変数CSRX_MGMT_PORT_REORDERにより、cSRXはコンテナ管理インターフェイスを使用できます。cSRX を備えた Kubernetes Node Port/Ingress コントローラ機能は、Flannel/Weave CNI でのみサポートされています。CSRX_MGMT_PORT_REORDERを「はい」に設定すると、管理ポートの動作の再構成を明示的に制御できます。Multuus CNIを使用してcSRXに接続されたインターフェイスへのcSRXシェルやSD Discoveryへのアクセスなどです。
たとえば、cSRX が eth0/eth1/eth2 で起動され、CSRX_MGMT_PORT_REORDER=yes である場合、eth2 を新しい管理インターフェイスとして使用できます。
この eth2 へのトラフィック転送は、ユーザーが明示的に定義した iptables ルールを介して行う必要があります。
cSRXコンテナファイアウォールは、メモリフットプリントが低いSRXシリーズサービスゲートウェイのコンテナ化バージョンです。cSRXは、コンテンツセキュリティ、AppSecure、統合脅威管理などの高度なセキュリティサービスをコンテナの形で提供します。Dockerコンテナを使用することで、各コンテナがLinuxホストのOSカーネルを共有するため、cSRXはオーバーヘッドを大幅に削減できます。Linux サーバーがホストするコンテナの数に関係なく、使用されている OS インスタンスは 1 つだけです。また、コンテナの軽量品質により、サーバーは仮想マシン(VM)よりも多くのコンテナ インスタンスをホストでき、利用率が大幅に向上します。cSRXコンテナファイアウォールは、コンパクトなフットプリントとDockerをコンテナ管理システムとして備え、俊敏で高密度なセキュリティサービスの導入を可能にします。
cSRX でサポートされる機能の概要については、「cSRX でサポートされる Junos OS 機能」を参照してください。
ライセンス
cSRX コンテナ ファイアウォール ソフトウェア機能では、この機能をアクティブ化するためのライセンスが必要です。cSRXコンテナファイアウォールライセンスの詳細については、 cSRXのサポートされている機能、 ジュニパーアジャイルライセンスガイド、 およびcSRXライセンスの管理を参照してください。
Kubernetes の概要
K8sは、コンテナ化されたアプリケーションの導入、拡張、管理を自動化するためのオープンソースシステムです。アプリケーションを構成するコンテナを論理ユニットにグループ化し、管理と検出を容易にします。
K8s は、システム リソース(CPU、メモリ、その他のカスタム メトリック)に基づいて、ノードの分散クラスタ全体でコンテナ化されたアプリケーションをオーケストレーションするメカニズムを一括で提供するビルディング オブジェクトのセットを定義します。K8s は、必要な機能に REST API を提供することで、コンテナのグループの管理の複雑さを隠します。
ノードは、サーバーと同様にクラスタ内の論理ユニットを指します。サーバーは物理ユニットでも仮想ユニットでもかまいません。Kubernetes クラスタのコンテキストでは、通常、ノードはワーカー ノードを具体的に指します。クラスター内の Kubernetes ノードは、エンド ユーザー アプリケーションを実行するマシンです。
Kubernetes クラスターには 2 種類のノードがあり、それぞれが適切に定義されたプロセスのセットを実行します。
ヘッドノード:プライマリノードまたはプライマリノードとも呼ばれ、すべての思考を行い、すべての決定を行う頭と脳です。すべてのインテリジェンスがここに配置されています。
ワーカーノード:ノード、つまりミニオンとも呼ばれ、従業員を行う手と足です。
ほとんどの場合、ノードはプライマリによって制御されます。
クラスターとユーザーの間のインターフェイスは、コマンドライン ツール kubectl です。クライアント アプリケーションとして、同じプライマリ ノードまたは別のマシンにインストールされます。
Kubernetes のオブジェクトは次のとおりです。
莢
サービス
容積
名前空間
複製
コントローラ
レプリカセット
配備
ステートフルセット
デーモンセット
仕事