Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
이 페이지 내용
 

JCNR로 서비스 체인(cSRX) 구축

이 섹션을 읽고 클라우드 네이티브 라우터로 보안 서비스 인스턴스(cSRX)를 사용자 지정하고 구축하는 방법을 알아보세요.

주니퍼 클라우드 네이티브 라우터(JCNR)를 주니퍼의 컨테이너형 SRX(cSRX) 플랫폼과 통합하여 IPsec과 같은 보안 서비스를 제공할 수 있습니다. 호스트 기반 서비스 체이닝을 사용하여 클라우드 네이티브 라우터는 동일한 Kubernetes 클러스터의 보안 서비스 인스턴스(cSRX)와 연결됩니다. cSRX 인스턴스는 L3 모드에서 포드 서비스로 실행됩니다. cSRX 인스턴스는 Helm 차트를 통해 사용자 지정 및 구축됩니다.

클라우드 네이티브 라우터를 설치할 때 또는 JCNR을 설치한 후에 주니퍼 cSRX를 구축할 수 있습니다. 사용 가능한 패키지에 대한 설명은 클라우드 네이티브 라우터 소프트웨어 다운로드 패키지를 참조하십시오.

기존 클라우드 네이티브 라우터 설치에 cSRX 설치

이 절차에 따라 기존 클라우드 네이티브 라우터 설치에 cSRX 인스턴스를 설치합니다. 이 절차를 시작하기 전에 모든 클라우드 네이티브 라우터 구성 요소가 실행 중인지 확인하십시오.

  1. 기존 클라우드 네이티브 라우터 설치에 주니퍼 cSRX를 설치하기 위한 소프트웨어 패키지를 다운로드하고 확장하십시오. 사용 가능한 소프트웨어 패키지에 대한 설명은 클라우드 네이티브 라우터 소프트웨어 다운로드 패키지를 참조하십시오.
  2. junos_csrx_<release>/helmchart 디렉터리로 변경하고 Helm 차트를 확장합니다.
    Helm 차트는 junos-csrx 디렉터리에 있습니다.
  3. 구축하려면 cSRX 컨테이너 이미지가 필요합니다. 다음 옵션 중 하나를 선택합니다.

    • 주니퍼 네트웍스 enterprise-hub.juniper.net 리포지토리의 이미지를 배포하도록 클러스터를 구성합니다. Helm 차트에서 리포지토리 자격 증명을 구성하는 방법에 대한 지침의 예는 리포지토리 자격 증명 구성을 참조하세요.

    • 다운로드한 cSRX 소프트웨어 패키지에 포함된 이미지 tarball에서 이미지를 구축하도록 클러스터를 구성합니다. 이미지를 로컬 containerd 런타임으로 가져오는 방법에 대한 지침의 예는 사전 패키징된 이미지 배포 를 참조하십시오.

  4. cSRX 라이선스 적용 및 cSRX 구성의 단계에 따라 cSRX 라이선스를 적용하고 cSRX Helm 차트를 구성합니다.
  5. cSRX를 설치합니다.
    junos_csrx_<release>/helmchart/junos-csrx 디렉터리로 이동하고 다음 명령을 실행하여 cSRX 인스턴스를 설치합니다.

클라우드 네이티브 라우터 설치 중 cSRX 설치

각 클라우드 네이티브 라우터 설치 섹션의 단계에 따라 JCNR을 설치합니다. 단계 중 하나는 cSRX 라이선스 적용 및 cSRX 구성을 참조합니다.

cSRX 라이선스 적용 및 cSRX 구성

다음 절차에 따라 cSRX 라이선스를 적용하고 주니퍼 cSRX를 구성하십시오.

다음 단계에서는 cSRX와 클라우드 네이티브 라우터를 함께 설치하는 경우 Juniper_Cloud_Native_Router_CSRX_<release> 디렉터리에 있고, 기존 클라우드 네이티브 라우터 설치에 cSRX를 설치하는 경우 junos_csrx_<release> 디렉터리에 있다고 가정합니다.

  1. /etc/kubernetes/kubelet.conf 를 클라우드 네이티브 라우터 및 cSRX 조합을 설치하려는 모든 노드에서 클러스터 kubeconfig로 바꿉니다. 이는 클라우드 네이티브 라우터 설치 중에 cSRX를 설치하고 기존 클라우드 네이티브 라우터 설치 시 cSRX를 설치하는 데 모두 적용됩니다. 이 단계를 수행하지 않으면 설치가 실패할 수 있습니다.
    예를 들어(kubeconfig가 기본 ~/.kube/config 위치에 있다고 가정): 여기서 <worker-node-ip> 은 클라우드 네이티브 라우터와 cSRX를 모두 설치하려는 노드의 IP 주소입니다. 클라우드 네이티브 라우터와 cSRX를 모두 설치하려는 모든 노드에 대해 반복합니다.
  2. 주니퍼 cSRX 라이선스를 적용합니다.
    1. secrets/csrx-secrets.yaml 이 소프트웨어 패키지에 없는 경우 아래 내용으로 생성합니다.
    2. 라이선스를 base64로 인코딩합니다.

      주니퍼 cSRX 라이선스 파일을 호스트 서버에 복사하고 명령을 실행합니다.

      이 명령의 출력은 base64로 인코딩된 라이선스입니다.
    3. 을 base64로 인코딩된 라이선스로 바꿉니다<add your license in base64 format>.
      메모:

      계정 팀에서 라이선스 파일을 가져와 위의 지침에 따라 secrets/csrx-secrets.yaml 파일에 설치해야 합니다. 컨테이너는 csrx-init 라이선스 검사를 수행하고 필요한 비밀 service-chain-instance 이 있는 경우에만 진행합니다.

    4. secrets/csrx-secrets.yaml 을 Kubernetes 클러스터에 적용합니다.
  3. cSRX Helm 차트를 구성합니다.

    • JCNR을 설치하는 동시에 cSRX를 설치하는 경우 Juniper_Cloud_Native_Router_CSRX_<release>/helmchart/jcnr_csrx/values.yaml 에서 조합 Helm 차트의 섹션을 구성합니다junos-csrx.

    • 기존 클라우드 네이티브 라우터 설치에 cSRX를 설치하는 경우 junos_csrx_<release>/helmchart/junos-csrx/values.yaml 에서 독립형 Helm 차트의 섹션을 구성합니다csrx.

    cSRX Helm 차트 사용자 지정의 cSRX 매개 변수 설명을 참조하십시오.

cSRX Helm 차트 사용자 지정

cSRX 서비스 체이닝 인스턴스는 독립형 Helm 차트 또는 JCNR과 결합된 Helm 차트 중 하나인 Helm 차트를 통해 구축됩니다. 배포는 두 가지 필수 구성 요소로 구성됩니다.

  • csrx-init: 기본 cSRX 애플리케이션에 대한 구성을 준비하는 init 컨테이너입니다. 파일에서 필요한 정보를 values.yaml 추출하여 처리하고 cSRX에 대한 구성 데이터를 생성합니다. 이를 통해 메인 cSRX 애플리케이션이 유효한 최신 구성으로 시작됩니다.

  • csrx: csrx는 주요 애플리케이션 컨테이너이며 cSRX 구축의 핵심 구성 요소입니다. 컨테이너에서 제공하는 csrx-init 구성에 의존하여 올바르게 작동합니다.

파일에서 다양한 구성 매개 변수를 지정하여 cSRX 구축을 values.yaml 사용자 정의할 수 있습니다. 주요 구성 옵션은 다음과 같습니다.

  • interfaceType: JCNR에 연결하기 위한 cSRX의 인터페이스 유형입니다. 로만 설정해야 합니다 vhost .

  • interfaceConfigs: 인터페이스 IP 주소, 게이트웨이 주소 및 선택적으로 경로를 정의하는 배열입니다. 인터페이스 IP는 배열의 ipSecTunnelConfigs 요소와 localAddress 일치해야 합니다. 경로에는 암호 해독된 트래픽을 클라우드 네이티브 라우터 및 IPSec 게이트웨이에 대한 연결성 경로로 조정하기 위한 접두사가 포함되어야 합니다.

  • ipSecTunnelConfigs: ike-phase1, 제안, 정책 및 게이트웨이 구성과 같은 IPsec 구성 세부 정보를 정의하는 어레이입니다. 트래픽 선택기에는 암호화될 것으로 예상되는 트래픽이 포함되어야 합니다.

  • jcnr_config: 클라우드 네이티브 라우터에서 cSRX로 트래픽을 조정하고 원격 IPsec 게이트웨이에서 cSRX로 IPsec 트래픽을 조정하여 보안 서비스 체인을 적용하기 위해 클라우드 네이티브 라우터에서 구성할 경로를 정의하는 어레이입니다.

다음은 독립형 cSRX 구축을 위한 기본 values.yaml입니다.