Elastic Kubernetes Service cSRX(Elastic Kubernetes Service)를 사용한 AWS 내 구축에 대한 이해
요약 이 주제는 AWS Elastic Kubernetes Service(EKS)를 cSRX AWS 클라우드의 Kubernetes Orchestration에 대한 개요를 제공합니다.
Kubernetes cSRX 이해
이 cSRX 컨테이너 방화벽 설치 공간은 적은 메모리를 서비스 게이트웨이 SRX 시리즈 컨테이너 버전입니다. cSRX 컨테이너 형태의 컨텐츠 보안, AppSecure, 통합 위협 관리 등의 고급 보안 서비스를 제공합니다. Docker 컨테이너를 사용하면 각 cSRX Linux 호스트의 OS 커널을 공유할 때 오버헤드를 크게 줄일 수 있습니다. Linux 서버가 호스팅하는 컨테이너 수와 관계없이 하나의 OS 인스턴스만 사용 중입니다. 또한 컨테이너의 경량 품질 때문에 서버는 VM(가상 머신)보다 더 많은 컨테이너 인스턴스를 호스팅할 수 있기 때문에 활용도를 엄청나게 개선할 수 있습니다. 작은 설치 공간과 컨테이너 관리 시스템인 Docker를 통해 cSRX 컨테이너 방화벽 고집적 보안 서비스를 구축할 수 있습니다.
Kubernetes(K8s)는 컨테이너형 애플리케이션의 구축, 확장, 관리를 자동화하기 위한 오픈 소스 시스템입니다. K8s 지원을 통해 cSRX 보다 적은 설치 공간으로 탄력적인 방화벽 서비스로 실행되는 클러스터에서 확장할 수 있습니다. 쉽게 관리하고 검색할 수 있도록 애플리케이션을 논리적 장치로 구성하는 컨테이너를 그룹화합니다. cSRX 클러스터에서 실행되는 구성은 다음 이점을 제공합니다.
-
적은 설치 공간으로 서비스 실행
-
보다 빠른 스케일아웃과 스케일아웃을 cSRX
-
자동화된 관리 및 워크플로우 제어
K8s는 시스템 리소스(CPU, 메모리 또는 기타 사용자 지정 메트릭)를 기반으로 분산된 노드 클러스터 전반에서 컨테이너화된 애플리케이션을 오케스트레이션하는 메커니즘을 제공하는 건물 객체 집합을 정의합니다. K8s는 필요한 기능에 REST API를 제공함으로써 컨테이너 그룹 관리의 복잡성을 관리합니다.
노드는 서버와 같은 클러스터의 논리적 단위를 나타냅니다. 서버는 물리적 또는 가상일 수 있습니다. Kubernetes 클러스터의 맥락에서 노드는 일반적으로 특별히 작업자 노드를 나타냅니다. 클러스터의 Kubernetes 노드는 최종 사용자 애플리케이션을 실행하는 시스템입니다.
Kubernetes 클러스터에는 두 가지 유형의 노드가 있으며 각 노드는 다음과 같이 잘 정의된 프로세스 집합을 실행합니다.
-
헤드 노드: 일차 노드 또는 일차 노드라고도 하는 것은 모든 생각을 내리고 모든 결정을 내리는 것이 머리와 두뇌입니다. 모든 인텔리전스가 여기에 있습니다.
-
작업 노드( 노드, 즉 미니언이라고도 불리는 노드)는 인력을 이루는 핸즈와 발(hands and feet)입니다.
노드는 대부분의 경우 기본 노드에 의해 제어됩니다.
클러스터와 사용자 간의 인터페이스는 명령줄 툴 kubectl입니다. 동일한 기본 노드 또는 별도의 시스템에 클라이언트 애플리케이션으로 설치됩니다.
Kubernetes의 객체는
-
포드
-
서비스
-
볼륨
-
네임 스페이스
-
복제
-
컨트롤러
-
ReplicaSet
-
배포
-
스테이트ful 세트
-
데몬 세트
-
작업
K8s 구축에서 Flannel 및 Weave CNI와 함께 Multus를 사용할 수 있습니다.
Kubernetes Node Port/Ingress 컨트롤러와 cSRX 환경 변수를 CSRX_MGMT_PORT_REORDER 인터페이스를 cSRX 인터페이스로 컨테이너 관리 인터페이스를 사용할 수 있습니다. 주니퍼의 Kubernetes Node Port/Ingress 컨트롤러 기능은 cSRX/Weave CNI만 지원됩니다. "CSRX_MGMT_PORT_REORDER"로 설정하면 관리 포트 동작의 재구성(re Configuration)을 명시적으로 제어할 수 있습니다. Multus CNI를 사용하는 cSRX 인터페이스에 대한 cSRX 쉘 또는 SD 검색과 마찬가지로,
예를 들어, cSRX/eth1/eth2와 eth0/eth2가 CSRX_MGMT_PORT_REORDER=yes인 경우 eth2를 새 관리 인터페이스로 사용할 수 있습니다.
이 eth2로 전달되는 트래픽은 명시적으로 정의된 IPtable 규칙을 통해 수행해야 합니다.
에서 Junos OS 지원 되는 cSRX 기능을 cSRX.
cSRX Kubernetes Orchestration in AWS 개요
AWS는 오퍼링의 일부로 짧은(short) 서비스를 위해 관리형 Kubernetes(K8s)를 제공합니다. 이러한 관리형 서비스는 K8s 환경 설정 및 운영에 대한 종속성 감소를 통해 이점을 제공합니다. Multus CNI를 사용하는 K8s 환경에서 cSRX 오케스트레이션 및 관리가 이미 지원됩니다. K8s를 지원하여 이제 해당 환경에 있는 다른 컨테이너 워크로드와 cSRX 구축, 관리 및 오케스트레이션할 수 있습니다.
이 cSRX 컨테이너 방화벽 컨텐트 보안, 침입 방지 시스템(침입 방지 시스템(IPS)), AppSecure(unified threat management) 등 고급 보안 서비스를 통해 컨테이너화된 환경을 UTM(Unified Threat Management).
혜택:
-
자동화된 서비스 프로비저닝 및 오케스트레이션
-
분산 및 멀티 테넌시 트래픽 보안
-
적은 공간으로 확장 가능한 보안 서비스
현재, Multus CNI를 사용하는 Kubernetes(K8s) 환경에서 cSRX 오케스트레이션 및 관리가 지원됩니다. Kubernetes cSRX 또는 Pod으로 구축할 수 있습니다. Kubernetes 지원을 통해 AWS 환경의 다른 컨테이너 워크로드와 함께 애플리케이션 cSRX 탄력적인 방화벽 서비스를 제공하는 클러스터에서 구축, 관리, 오케스트레이션, 스케일아웃 및 확장할 수 있습니다.
자세한 내용은 구축 가이드 Kubernetes의 cSRX 를 참조하십시오.
AWS는 서비스 오퍼링의 일부로 짧은 서비스를 위해 관리형 K8s를 제공합니다. 이러한 관리 서비스를 사용하면 K8s 환경 설정 및 운영에 대한 종속성 감소를 통해 이점을 받을 수 있습니다. 또한 고객들은 공용 클라우드 플랫폼에서 워크로드를 보호할 수 있도록 컨테이너형 cSRX 옵션을 제공해야 합니다. 컨테이너 워크로드로 마이그레이션하는 기업들은 컨테이너 관리 및 오케스트레이션을 위해 K8s를 활용하고 있는 반면, AWS(및 GCP 및 Microsoft Azure)에서 제공하는 서비스는 사용 용이성과 낮은 유지 보수에 대한 요구를 증가하고 있습니다.
AWS는 컨테이너를 위한 두 가지 오케스트레이션 서비스인 ECS(Elastic Container Service) 와 Elastic Kubernetes Service(EKS)를 제공합니다.
탄력적 Kubernetes 서비스(EKS): 이는 완벽하게 관리되는 Kubernetes 서비스입니다. 오픈 소스 Kubernetes 적응 및 오픈 소스 버전을 완벽하게 지원 EKS는 AWS 클라우드에서 Kubernetes 애플리케이션을 실행하는 데 도움이 되는 Amazon 관리 서비스입니다. EKS는 고가용성을 제공하는 여러 존에 Kubernetes 컨트롤 플레인을 설정하는 데 도움을 주며, EKS는 언트러스트 컨트롤 플레인 인스턴스를 감지하여 필요 시 자동으로 버전 업그레이드 및 패치를 적용합니다. EKS는 컨테이너 이미지, 인증을 위한 IAM(Identity and Access Management) 역할, 네트워크 고르기용 AWS VPC, 로드 분산을 위한 Elastic Load Balancing을 보유한 Elastic Container Registry(ECR)와 완벽하게 통합됩니다.
BYOL(bring your own license) cSRX 클러스터 관리를 위한 Elastic Kubernetes Services(EKS) 오케스트레이션을 사용하여 AWS 클라우드에서 클라우드를 구축하고 관리할 수 있습니다.
Amazon Elastic Kubernetes 서비스
Amazon Elastic Kubernetes Service(Amazon EKS)는 AWS 클라우드 또는 프레미스에서 Kubernetes 애플리케이션을 시작, 실행, 확장할 수 있는 유연성을 제공합니다. Amazon EKS는 고가용성 보안 클러스터를 제공하고 패치, 노드 프로비저닝, 업데이트와 같은 주요 작업을 자동화할 수 있도록 합니다.
EKS는 업스트림 Kubernetes를 실행하며 예측 가능한 경험을 위한 Kubernetes 인증을 획득했습니다. 코드를 재설계할 필요 없이 표준 Kubernetes 애플리케이션을 EKS로 쉽게 마이그레이션할 수 있습니다.
EKS를 사용하면 모든 환경 전반의 운영을 쉽게 표준화할 수 있습니다. AWS에서 완전히 관리되는 EKS 클러스터를 실행할 수 있습니다. Amazon EKS를 통해 일관된 운영을 원하는 곳 어디에서나 Kubernetes를 배포하고 오픈 소스를 사용할 수 있습니다. 사내 및 에지에서 Kubernetes 클러스터를 호스팅 및 운영하고 Amazon EKS를 통해 일관된 클러스터 관리 경험을 할 수 있습니다.
AWS 클라우드에서 Elastic Kubernetes 솔루션(EKS)으로 오픈 소스 Kubernetes 기능을 완벽하게 활용할 수 있습니다. 모든 최신 Kubernetes 업데이트는 EKS 프레임워크에서 제공됩니다.
cSRX EC2 인스턴스가 있는 EKS에서만 지원됩니다. EKS는 Amazon Cloud Watch, Autoscaling Groups, AWS Identity and Access Management(IAM) 및 Amazon VPC(Virtual Private Cloud)와 완벽하게 통합되어 원활한 환경을 통해 클라우드 애플리케이션을 모니터링하고 로드 균형을 맞출 수 있습니다.
EKS를 지원하는 AWS는 고가용성 지원을 제공하기 위해 2개의 서로 다른 존에서 실행되는 확장성이 뛰어난 컨트롤 플레인을 제공합니다. EKS는 오픈 소스 Kubernetes와 완벽하게 호환됩니다. 모든 표준 Kubernetes 애플리케이션을 EKS로 쉽게 마이그레이션할 수 있습니다.
EKS 클러스터 구축을 위해 플래닝 CNI가 있는 AWS 독점적 Multus가 지원됩니다.
혜택
또한 cSRX Kubernetes와 같은 다른 차세대 클라우드 오케스트레이션 도구와 통합됩니다.
이 cSRX 기존에 존재하지 않는 보안 적용 지점을 추가하여 Kubernetes 구축에 가장 포괄적인 네트워크 보안을 제공합니다.
-
효율적이고 비용 효율적인 AWS가 컨테이너형 클라우드 기반 마이크로 서비스로 마이그레이션하면 비용 절감, 부팅 시간 단축, 가시성을 확보하는 동시에 공용 및 프라이빗 클라우드 환경 전반에서 동일한 보안 환경을 유지할 수 있습니다.
-
뛰어난 기민성과 확장성을 제공하는 소형 설치 공간으로 컨테이너 폼 팩터에서 고도로 기민하고 향상된 보안 서비스를 제공합니다.
이 cSRX 컨테이너 관리 솔루션을 통해 애플리케이션 보호, 마이크로세그먼ATION 등 다양한 고객 사용 사례를 포함해 쉽고 유연하며 확장성이 뛰어난 구축 옵션을 제공합니다.
구축 cSRX 서비스로 구축하면 요구에 따라 애플리케이션을 확장하고 cSRX 수 있습니다. 이 방화벽은 방화벽으로 작동하여 클러스터에 구축된 워크로드를 풍부한 고급 서비스 구성으로 보호합니다.
일부 구축에는 대규모로 확장할 수 있는 매우 기민하고 가벼운 보안 VNF가 필요합니다. 이러한 구축의 경우 VM 기반 VNF는 확장 가능한 솔루션이 아니며 컨테이너 기반 보안 VNF가 필요합니다.
-
가용성 및 관측 가능성 향상 - 네트워크 기능 서비스 체인에 참여하여 고가용성은 물론, 필요 시 개별 네트워크 기능으로 확장할 수 있는 컨테이너형 보안을 제공합니다.
-
고도로 안전한 환경 - NETCONF 및 Security Director Kubernetes와 같은 타사 관리 및 클라우드 오케스트레이션 도구와의 통합을 지원할 수 있는 관리 유연성을 제공합니다.
또한 EKS를 통해 클러스터의 컨트롤 플레인에 최신 보안 패치를 적용하여 클러스터의 보안을 보장합니다.