Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Kubernetes による cSRX について

コンテナ化されたSRX(cSRX)は、Dockerコンテナをベースにした仮想セキュリティソリューションで、俊敏で弾力性があり、コストを削減するセキュリティサービスを提供し、包括的なL7セキュリティ保護を実現します。

Kubernetes(K8s)は、コンテナ化されたアプリケーションの導入、拡張、管理を自動化するためのオープンソースシステムです。k8sのサポートにより、cSRXは、仮想マシンと比較してフットプリントを小さくして、柔軟なファイアウォールサービスとして実行されているクラスタ内でスケールアウトできます。K8s クラスタで実行されている cSRX には、次のようなメリットがあります。

  • よりコンパクトなフットプリントでサービスを実行

  • cSRX の迅速なスケールアウトと拡張が可能

  • 自動化された管理と制御されたワークフロー

図 1:Kubernetes Linux cSRX Service in Kubernetes Linux の cSRX サービス

K8s の導入では、Flannel と Weave CNI の両方で Multus を使用できます。

kubernetes Node Port/IngressコントローラとcSRXをサポートするために、環境変数CSRX_MGMT_PORT_REORDERにより、cSRXはコンテナ管理インターフェイスを使用できます。cSRX を備えた Kubernetes Node Port/Ingress コントローラ機能は、Flannel/Weave CNI でのみサポートされています。CSRX_MGMT_PORT_REORDERを「はい」に設定すると、管理ポートの動作の再構成を明示的に制御できます。Multuus CNIを使用してcSRXに接続されたインターフェイスへのcSRXシェルやSD Discoveryへのアクセスなどです。

たとえば、cSRX が eth0/eth1/eth2 で起動され、CSRX_MGMT_PORT_REORDER=yes である場合、eth2 を新しい管理インターフェイスとして使用できます。

手記:

この eth2 へのトラフィック転送は、ユーザーが明示的に定義した iptables ルールを介して行う必要があります。

cSRXコンテナファイアウォールは、メモリフットプリントが低いSRXシリーズサービスゲートウェイのコンテナ化バージョンです。cSRXは、コンテンツセキュリティ、AppSecure、統合脅威管理などの高度なセキュリティサービスをコンテナの形で提供します。Dockerコンテナを使用することで、各コンテナがLinuxホストのOSカーネルを共有するため、cSRXはオーバーヘッドを大幅に削減できます。Linux サーバーがホストするコンテナの数に関係なく、使用されている OS インスタンスは 1 つだけです。また、コンテナの軽量品質により、サーバーは仮想マシン(VM)よりも多くのコンテナ インスタンスをホストでき、利用率が大幅に向上します。cSRXコンテナファイアウォールは、コンパクトなフットプリントとDockerをコンテナ管理システムとして備え、俊敏で高密度なセキュリティサービスの導入を可能にします。

cSRX でサポートされる機能の概要については、「cSRX でサポートされる Junos OS 機能」を参照してください。

ライセンス

cSRX コンテナ ファイアウォール ソフトウェア機能では、この機能をアクティブ化するためのライセンスが必要です。cSRXコンテナファイアウォールライセンスの詳細については、 cSRXのサポートされている機能ジュニパーアジャイルライセンスガイドおよびcSRXライセンスの管理を参照してください。

Kubernetes の概要

K8sは、コンテナ化されたアプリケーションの導入、拡張、管理を自動化するためのオープンソースシステムです。アプリケーションを構成するコンテナを論理ユニットにグループ化し、管理と検出を容易にします。

K8s は、システム リソース(CPU、メモリ、その他のカスタム メトリック)に基づいて、ノードの分散クラスタ全体でコンテナ化されたアプリケーションをオーケストレーションするメカニズムを一括で提供するビルディング オブジェクトのセットを定義します。K8s は、必要な機能に REST API を提供することで、コンテナのグループの管理の複雑さを隠します。

ノードは、サーバーと同様にクラスタ内の論理ユニットを指します。サーバーは物理ユニットでも仮想ユニットでもかまいません。Kubernetes クラスタのコンテキストでは、通常、ノードはワーカー ノードを具体的に指します。クラスター内の Kubernetes ノードは、エンド ユーザー アプリケーションを実行するマシンです。

Kubernetes クラスターには 2 種類のノードがあり、それぞれが適切に定義されたプロセスのセットを実行します。

  • ヘッドノード:プライマリノードまたはプライマリノードとも呼ばれ、すべての思考を行い、すべての決定を行う頭と脳です。すべてのインテリジェンスがここに配置されています。

  • ワーカーノード:ノード、つまりミニオンとも呼ばれ、従業員を行う手と足です。

ほとんどの場合、ノードはプライマリによって制御されます。

クラスターとユーザーの間のインターフェイスは、コマンドライン ツール kubectl です。クライアント アプリケーションとして、同じプライマリ ノードまたは別のマシンにインストールされます。

Kubernetes のオブジェクトは次のとおりです。

  • サービス

  • 容積

  • 名前空間

  • 複製

  • コントローラ

  • レプリカセット

  • 配備

  • ステートフルセット

  • デーモンセット

  • 仕事