Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページの目次
 

Junos Telemetry Interface 向け gRPC サービス

Junos Telemetry Interface の gRPC の設定

TCPをベースにしたリモートプロシージャコールを処理するオープンソースのフレームワークであるgRPCを通じて、さまざまなネットワーク要素のテレメトリデータをストリーミングすることができます。Junos Telemetry Interfaceは、いわゆるプッシュモデルに依存してデータを非同期的に提供することで、ポーリングを排除します。Junos OS のバージョンとアップグレードされた FreeBSD カーネルを実行するすべてのジュニパーデバイスでは、gRPC サブスクリプションを管理するためのインターフェイスを提供する Junos ネットワークエージェントソフトウェアパッケージをインストールする必要があります。他のすべてのバージョンのJunos OSを実行するジュニパーネットワークデバイスの場合、この機能はJunos OSソフトウェアに組み込まれています。Junos ネットワークエージェントパッケージのインストールについて詳しくは、 ネットワークエージェントパッケージのインストールを参照してください。

始める前に:

  • Junos OSリリース16.1R3以降をジュニパーネットワークスのデバイスにインストールします。

  • Juniper Networks デバイスで、FreeBSD カーネルがアップグレードされたバージョンの Junos OS を実行している場合は、Junos ネットワークエージェントのソフトウェア パッケージをインストールします。

  • OpenConfig for Junos モジュールをインストールします。詳細については、「 OpenConfig パッケージのインストール」を参照してください。

gRPC サービス用にシステムを構成するには、セキュア ソケット レイヤー (SSL) テクノロジに基づいて API 接続設定を指定します。

たとえば、API 接続を設定するには、次のようにします。

SSL ベースの接続の場合は、ローカル証明書名を指定する必要があります。デフォルトのIPアドレス(::)を利用して、Junosが着信接続のすべてのIPv4およびIPv6アドレスを「リッスン」できるようにすることができます。IP アドレスを指定する場合は、以下の手順 2 に従います。

  1. ローカル証明書名を指定します。証明書には、証明書構成の任意のユーザー定義値を指定できます (ここでは示されていません)。この例で使用されている証明書名は jsd_certificate です。
    手記:

    [edit security certificates]階層レベルで local certificate-name ステートメントで設定した証明書の名前を入力します。
  2. (オプション)着信接続をリッスンする IP アドレスを指定します。この例で使用される IP アドレスは 192.0.2.0 です。
    手記:

    IP アドレスを指定しない場合、デフォルトのアドレス :: を使用して着信接続をリッスンします。

関連項目

Junos テレメトリ インターフェイスの gRPC の双方向認証の構成

Junos OS リリース 17.4R1 以降、テレメトリ データのストリーミングに使用される gRPC セッションの双方向認証を設定できます。以前は、サーバー、つまりジュニパーデバイスの認証のみがサポートされていました。これで、外部クライアント、つまりデータを収集する管理ステーションも、SSL証明書を使用して認証できるようになりました。アプリケーションと Junos OS との対話をサポートする JET サービス プロセス(jsd)は、外部クライアントから提供された資格情報を使用して、クライアントの認証と接続の承認を行います。

始める前に:

  • Juniper デバイスで、FreeBSD カーネルがアップグレードされたバージョンの Junos OS を実行している場合は、Junos ネットワークエージェントのソフトウェア パッケージをインストールします。

  • OpenConfig for Junos モジュールをインストールします。詳細については、「 OpenConfig パッケージのインストール」を参照してください。

  • gRPC サーバーを構成します。詳細については、「 Junos Telemetry Interface の gRPC の構成」を参照してください。

外部クライアント、つまり、Juniperデバイスからストリーミングされたテレメトリデータを収集する管理ステーションの認証を設定するには、次の手順に従います。

  1. 双方向認証を有効にし、クライアント証明書の要件を指定します。

    たとえば、証明書とその検証を必要とする最も強力な認証を指定するには、次のようにします。

    手記:

    デフォルトは no-certificate です。その他のオプションは、 request-certificaterequest-certificate-and-verifyrequire-certificaterequire-certificate-and-verfiyです。

    このオプションは no-certificate テスト環境でのみ使用することをお勧めします。
  2. 認証局を指定します。
    手記:

    認証局には、 [edit security pki ca-profile] 階層レベルで設定した認証局プロファイルを指定します。このプロファイルは、クライアントによって提供される証明書を検証するために使用されます。

    デジタル証明書は、認証局 (CA) と呼ばれる信頼できるサードパーティーを介してユーザーを認証する方法を提供します。CA は、証明書所有者の身元を検証し、証明書が偽造または変更されていないことを証明するために証明書に「署名」します。詳細については、「 デジタル証明書の概要 」および 「例:CA デジタル証明書の要求」を参照してください。

    例えば、 jsd_certificate という名前の認証局プロファイルを指定するには、以下のようにします。

  3. 外部クライアントが、 jsd プロセスを通じてジュニパー デバイスに正常に接続し、OpenConfig RPC を呼び出せることを確認します。

    外部クライアントは、ユーザー名とパスワードの資格情報をメタデータの一部として各 RPC に渡します。有効な資格情報が使用されている場合は、RPC が許可されます。それ以外の場合は、エラー メッセージが返されます。

変更履歴テーブル

機能のサポートは、使用しているプラットフォームとリリースによって決まります。 機能エクスプローラー を使用して、機能がプラットフォームでサポートされているかどうかを判断します。

解放
形容
17.4R1
Junos OS リリース 17.4R1 以降、テレメトリ データのストリーミングに使用される gRPC セッションの双方向認証を設定できます。
17.3R1
Junos Telemetry InterfaceとgRPCストリーミングは、Junos OSリリース17.3R1以降のQFX5110、EX4600、EX9200スイッチでサポートされています。
17.2R1
Junos Telemetry InterfaceとgRPCストリーミングは、Junos OSリリース17.2R1以降のQFX10000スイッチ、QFX5200スイッチ、およびPTX1000ルーターでサポートされています。
16.1R3
MXシリーズルーターとPTX3000およびPTX5000ルーターのJunos OSリリース16.1R3以降、TCPをベースにしたリモートプロシージャコールを処理するオープンソースフレームワークであるgRPCを通じて、さまざまなネットワーク要素のテレメトリデータをストリーミングできるようになりました。