Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Junos Telemetry Interface 向け gRPC サービス

Junos Telemetry Interface の gRPC の設定

TCPをベースにしたリモートプロシージャコールを処理するオープンソースのフレームワークであるgRPCを通じて、さまざまなネットワーク要素のテレメトリデータをストリーミングすることができます。Junos Telemetry Interfaceは、いわゆるプッシュモデルに依存してデータを非同期的に提供することで、ポーリングを排除します。Junos OS のバージョンとアップグレードされた FreeBSD カーネルを実行するすべてのジュニパーデバイスでは、gRPC サブスクリプションを管理するためのインターフェイスを提供する Junos ネットワークエージェントソフトウェアパッケージをインストールする必要があります。他のすべてのバージョンのJunos OSを実行するジュニパーネットワークデバイスの場合、この機能はJunos OSソフトウェアに組み込まれています。Junos ネットワークエージェントパッケージのインストールについて詳しくは、 ネットワークエージェントパッケージのインストールを参照してください。

始める前に:

  • Junos OSリリース16.1R3以降をジュニパーネットワークスのデバイスにインストールします。

  • Juniper Networks デバイスで、FreeBSD カーネルがアップグレードされたバージョンの Junos OS を実行している場合は、Junos ネットワークエージェントのソフトウェア パッケージをインストールします。

  • OpenConfig for Junos モジュールをインストールします。詳細については、「 OpenConfig パッケージのインストール」を参照してください。

gRPC サービス用にシステムを構成するには:

  1. セキュア ソケット レイヤー (SSL) テクノロジに基づいて API 接続設定を指定します。

    たとえば、API 接続を設定するには、次のようにします。

    SSL ベースの接続の場合は、ローカル証明書名を指定する必要があります。デフォルトのIPアドレス(::)を利用して、Junosが着信接続のすべてのIPv4およびIPv6アドレスを「リッスン」できるようにすることができます。IP アドレスを指定する場合は、以下の手順 b. に従います。

    1. ローカル証明書名を指定します。証明書には、証明書構成の任意のユーザー定義値を指定できます (ここでは示されていません)。この例で使用されている証明書名は次のとおりです jsd_certificate
      メモ:

      階層レベルで ステートメント[edit security certificates]local certificate-name設定した証明書の名前を入力します。

    2. (オプション)着信接続をリッスンする IP アドレスを指定します。この例で使用される IP アドレスは次のとおりです 192.0.2.0
      メモ:

      IP アドレスを指定しない場合、デフォルトのアドレス :: を使用して着信接続をリッスンします。

  2. ポート 32767 を指定して、gRPC 経由の着信接続を受け入れます。
    メモ:

    ポート 32767 は、セキュリティで保護されていない接続と SSL ベースの接続の両方の gRPC ストリーミングに必要なポートです。

Junos テレメトリ インターフェイスの gRPC の双方向認証の構成

Junos OS リリース 17.4R1 以降、テレメトリ データのストリーミングに使用される gRPC セッションの双方向認証を設定できます。以前は、サーバー、つまりジュニパーデバイスの認証のみがサポートされていました。これで、外部クライアント、つまりデータを収集する管理ステーションも、SSL証明書を使用して認証できるようになりました。アプリケーションとJunos OSとの対話をサポートするJETサービスプロセス(jsd)は、外部クライアントから提供された認証情報を使用して、クライアントの認証と接続の承認を行います。

始める前に:

  • Juniper デバイスで、FreeBSD カーネルがアップグレードされたバージョンの Junos OS を実行している場合は、Junos ネットワークエージェントのソフトウェア パッケージをインストールします。

  • OpenConfig for Junos モジュールをインストールします。詳細については、「 OpenConfig パッケージのインストール」を参照してください。

  • gRPC サーバーを構成します。詳細については、「 Junos Telemetry Interface の gRPC の構成」を参照してください。

外部クライアント、つまり、Juniperデバイスからストリーミングされたテレメトリデータを収集する管理ステーションの認証を設定するには、次の手順に従います。

  1. 双方向認証を有効にし、クライアント証明書の要件を指定します。

    たとえば、証明書とその検証を必要とする最も強力な認証を指定するには、次のようにします。

    メモ:

    デフォルトno-certificateは です。その他のオプションは、 、 、 request-certificaterequest-certificate-and-verifyrequire-certificaterequire-certificate-and-verfiyです。

    オプションはテスト環境でのみ使用 no-certificate することをお勧めします。

  2. 認証局を指定します。
    メモ:

    認証局には、 階層レベルで設定した [edit security pki ca-profile] 認証局プロファイルを指定します。このプロファイルは、クライアントによって提供される証明書を検証するために使用されます。

    デジタル証明書は、認証局 (CA) と呼ばれる信頼できるサードパーティーを介してユーザーを認証する方法を提供します。CA は、証明書所有者の身元を検証し、証明書が偽造または変更されていないことを証明するために証明書に「署名」します。詳細については、「 デジタル証明書の概要 」および 「例:CA デジタル証明書の要求」を参照してください。

    例えば、 という名前の jsd_certificate認証局プロファイルを指定するには、

  3. 外部クライアントがプロセスを通じて jsd ジュニパーデバイスと正常に接続し、OpenConfig RPCを起動できることを確認します。

    外部クライアントは、ユーザー名とパスワードの資格情報をメタデータの一部として各 RPC に渡します。有効な資格情報が使用されている場合は、RPC が許可されます。それ以外の場合は、エラー メッセージが返されます。

変更履歴テーブル

機能のサポートは、使用しているプラットフォームとリリースによって決まります。 機能エクスプローラー を使用して、機能がプラットフォームでサポートされているかどうかを判断します。

リリース
説明
17.4R1
Junos OS リリース 17.4R1 以降、テレメトリ データのストリーミングに使用される gRPC セッションの双方向認証を設定できます。
17.3R1
Junos Telemetry InterfaceとgRPCストリーミングは、Junos OSリリース17.3R1以降のQFX5110、EX4600、EX9200スイッチでサポートされています。
17.2R1
Junos Telemetry InterfaceとgRPCストリーミングは、Junos OSリリース17.2R1以降のQFX10000スイッチ、QFX5200スイッチ、およびPTX1000ルーターでサポートされています。
16.1R3
MXシリーズルーターとPTX3000およびPTX5000ルーターのJunos OSリリース16.1R3以降、TCPをベースにしたリモートプロシージャコールを処理するオープンソースフレームワークであるgRPCを通じて、さまざまなネットワーク要素のテレメトリデータをストリーミングできるようになりました。