Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

JCNR을 사용한 서비스 체인(cSRX) 구축

요약 이 섹션을 읽고 클라우드 네이티브 라우터로 보안 서비스 인스턴스(cSRX)를 사용자 지정하고 구축하는 방법에 대해 알아보십시오.

주니퍼 클라우드 네이티브 라우터(JCNR)를 주니퍼의 컨테이너화된 SRX(cSRX) 플랫폼과 통합하여 IPsec과 같은 보안 서비스를 제공할 수 있습니다. 클라우드 네이티브 라우터는 호스트 기반 서비스 체이닝을 사용하여 동일한 Kubernetes 클러스터의 보안 서비스 인스턴스(cSRX)와 연결됩니다. cSRX 인스턴스는 L3 모드에서 포드 서비스로 실행됩니다. cSRX 인스턴스는 Helm 차트를 통해 사용자 지정 및 배포됩니다.

JCNR을 설치할 때 또는 JCNR을 설치한 후에 주니퍼 cSRX를 구축할 수 있습니다. 사용 가능한 패키지에 대한 설명은 JCNR 소프트웨어 다운로드 패키지를 참조하십시오.

기존 JCNR 설치에 cSRX 설치

기존 JCNR 설치에 cSRX 인스턴스를 설치하려면 다음 절차를 따르십시오. 이 절차를 시작하기 전에 모든 JCNR 구성 요소가 가동되어 실행 중인지 확인합니다.

  1. 기존 JCNR 설치에 주니퍼 cSRX를 설치하기 위한 소프트웨어 패키지를 다운로드하고 확장합니다. 사용 가능한 소프트웨어 패키지에 대한 설명은 JCNR 소프트웨어 다운로드 패키지를 참조하십시오.
  2. junos_csrx_<release>/helmchart 디렉토리로 변경하고 Helm 차트를 펼치십시오.
    Helm 차트는 junos-csrx 디렉터리에 있습니다.
  3. cSRX 컨테이너 이미지는 구축에 필요합니다. 다음 옵션 중 하나를 선택합니다.
    • 주니퍼 네트웍스 enterprise-hub.juniper.net 리포지토리에서 이미지를 구축하도록 클러스터를 구성합니다. Helm 차트에서 리포지토리 자격 증명을 구성하는 방법에 대한 예제 지침은 리포지토리 자격 증명 구성을 참조하세요.

    • 다운로드한 cSRX 소프트웨어 패키지에 포함된 이미지 tarball에서 이미지를 구축하도록 클러스터를 구성합니다. 로컬 containerd 런타임으로 이미지를 가져오는 방법에 대한 예제 지침은 미리 패키지된 이미지 배포를 참조하세요.

  4. cSRX 라이선스 적용 및 cSRX 구성의 단계에 따라 cSRX 라이선스를 적용하고 cSRX Helm 차트를 구성합니다.
  5. cSRX를 설치합니다.
    junos_csrx_<release>/helmchart/junos-csrx 디렉터리로 이동하고 다음 명령을 실행하여 cSRX 인스턴스를 설치합니다.

JCNR 설치 중 cSRX 설치

각 JCNR 설치 섹션의 단계에 따라 JCNR을 설치합니다. 단계 중 하나는 cSRX 라이선스 적용 및 cSRX 구성을 참조합니다.

cSRX 라이선스 적용 및 cSRX 구성

다음 절차에 따라 cSRX 라이선스를 적용하고 주니퍼 cSRX를 구성하십시오.

다음 단계에서는 cSRX와 JCNR을 함께 설치하는 경우 Juniper_Cloud_Native_Router_CSRX_<release> 디렉터리에 있고, 기존 JCNR 설치에 cSRX를 설치하는 경우 junos_csrx_<release> 디렉터리에 있다고 가정합니다.

  1. JCNR 및 cSRX 조합을 설치하려는 모든 노드에서 /etc/kubernetes/kubelet.conf를 클러스터 kubeconfig로 대체합니다. 이는 JCNR 설치 중 cSRX 설치와 기존 JCNR 설치에 cSRX 설치 모두에 적용됩니다. 이 단계를 수행하지 않으면 설치가 실패할 수 있습니다.
    예를 들어(kubeconfig가 기본 ~/.kube/config 위치에 있다고 가정): 여기서 <worker-node-ip> 는 JCNR과 cSRX를 모두 설치하려는 노드의 IP 주소입니다. JCNR과 cSRX를 모두 설치하려는 모든 노드에 대해 반복합니다.
  2. 주니퍼 cSRX 라이선스를 적용합니다.
    1. secrets/csrx-secrets.yaml 소프트웨어 패키지에 없는 경우 아래 내용으로 생성합니다.
    2. 라이선스를 base64로 인코딩합니다.

      주니퍼 cSRX 라이선스 파일을 호스트 서버에 복사하고 명령을 실행합니다.

      이 명령의 출력은 base64로 인코딩된 라이선스입니다.
    3. base64 인코딩 라이선스로 바꿉니다<add your license in base64 format>.
      메모:

      위의 지침에 따라 계정 팀에서 라이선스 파일을 얻어 secrets/csrx-secrets.yaml 파일에 설치해야 합니다. 컨테이너는 csrx-init 라이선스 검사를 수행하고 필요한 비밀 service-chain-instance 이 발견된 경우에만 진행합니다.

    4. Kubernetes 클러스터에 secrets/csrx-secrets.yaml을 적용합니다.
  3. cSRX Helm 차트를 구성합니다.
    • JCNR을 설치하는 동시에 cSRX를 설치하는 경우 Juniper_Cloud_Native_Router_CSRX_<release>/helmchart/jcnr_csrx/values.yaml 에서 조합 Helm 차트의 섹션을 구성합니다junos-csrx.

    • 기존 JCNR 설치에 cSRX를 설치하는 경우 junos_csrx_<release>/helmchart/junos-csrx/values.yaml 에서 독립형 Helm 차트의 섹션을 구성합니다csrx.

    cSRX Helm 차트 사용자 정의의 cSRX 매개 변수 설명을 참조하십시오.

cSRX Helm 차트 사용자 지정

cSRX 서비스 체이닝 인스턴스는 Helm 차트, 독립형 Helm 차트 또는 JCNR과 결합된 Helm 차트를 통해 구축됩니다. 배포는 다음 두 가지 필수 구성 요소로 구성됩니다.

  • csrx-init: 기본 cSRX 애플리케이션에 대한 구성을 준비하는 init 컨테이너입니다. 파일에서 필요한 정보를 values.yaml 추출하고 처리한 후 cSRX에 대한 구성 데이터를 생성합니다. 이를 통해 기본 cSRX 애플리케이션이 유효한 최신 구성으로 시작됩니다.

  • csrx: csrx는 주요 애플리케이션 컨테이너이자 cSRX 구축의 핵심 구성 요소입니다. 컨테이너가 올바르게 작동하려면 컨테이너에서 csrx-init 제공하는 구성에 의존합니다.

파일에서 다양한 구성 매개 변수를 지정하여 cSRX 구축을 values.yaml 사용자 지정할 수 있습니다. 주요 구성 옵션은 다음과 같습니다.

  • interfaceType: JCNR에 연결하기 위한 cSRX의 인터페이스 유형입니다. only(으)로 vhost 설정해야 합니다.

  • interfaceConfigs: 인터페이스 IP 주소, 게이트웨이 주소 및 경로(선택 사항)를 정의하는 배열입니다. 인터페이스 IP는 배열의 localAddress ipSecTunnelConfigs 요소와 일치해야 합니다. 경로에는 암호 해독된 트래픽을 JCNR로 조정하기 위한 접두사와 IPSec 게이트웨이에 대한 연결성 경로가 포함되어야 합니다.

  • ipSecTunnelConfigs: ike-phase1, 제안, 정책 및 게이트웨이 구성과 같은 IPsec 구성 세부 정보를 정의하는 배열입니다. 트래픽 선택기에는 암호화될 것으로 예상되는 트래픽이 포함되어야 합니다.

  • jcnr_config: JCNR에서 cSRX로 트래픽을 조정하고 원격 IPsec 게이트웨이에서 cSRX로 IPsec 트래픽을 조정하여 보안 서비스 체인을 적용하기 위해 JCNR에서 구성할 경로를 정의하는 어레이입니다.

독립형 cSRX 구축을 위한 기본값 .yaml 은 다음과 같습니다.