SlideShare a Scribd company logo

Openshift NGINX Kubernetes (Japanese Webinar)

N
NGINX, Inc.

Openshift NGINX Kubernetes Webinar

Software
1 of 43
Downloaded 25 times
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
OpenShiftとNGINXによる Kubernetesアプリケーション構築の ベストプラクティス F5ネットワークスジャパン合同会社
| ©2021 F5 2 Agenda •NGINXのご紹介 •Red Hat & NGINX Partnership •Open ShiftとNGINXの活用 •デモ
| ©2021 F5 3 NGINX
| ©2021 F5 4 NGINXの歴史 NGINX (オープンソース) 2011 : Nginx, Inc. 設立 2013 : Nginx Plusリリース 2017 : Announced; - NGINX Controller - NGINX Unit 等 2019 2014 : NGINXが世界中上位10,000 サイト中最も利用されているWebServerとなる 2004 : NGINX 最初のリリース 2002 : イゴール・シソエフ (CTO of NGINX, Inc.) NGINXの開発を開始 2008 : Chrome / Android 最初のリリー ス 2007 : iPhone 最初のリリース 2014 : 世界のスマートフォン 10億台超え 2017 : 世界のスマートフォン 15億台超え イゴール・シソエフ Apache httpdでは、1つのサーバー での同時アクセス数の上限に問題 (C10K問題)を感じていた。 Apache httpdより同時アクセス数の 多いサーバーソフトもあったが、機能 が限定されていた。「そこで、C10K 問題に対応しつつ、静的ファイルだけ でなくほかのサーバーとの連携機能を 持ったWebサーバーとしてNGINXを 開発することを決めた」 買収 2020 : シェアTOP(約36%)、 4.5億サイトでWebトラフィックを処理
| ©2021 F5 5 WebServer Reverse Proxy and Cache WebServer Reverse Proxy and Cache
| ©2021 F5 6 0000000000 Advanced Load Balancing Advanced Content Cache WebServer Reverse Proxy and Cache Advanced Monitoring & Management Advanced Security Controls
| ©2021 F5 7 NGINX Plus – クラウドに依存せずポータブル ベアメタル マルチクラウド コンテナ Linux/BSD CPUs VMware vSphere Advanced Load Balancing Advanced Content Cache Web Server Reverse Proxy and Cache Advanced Monitoring & Management Advanced Security Controls
| ©2021 F5 8 NGINX 製品 DELIVERING MODERN APPLICATIONS AT SCALE ACROSS SEAMLESSLY ACROSS MULTI-CLOUD NGINX Plus All-In-One Software ロードバランサー、 Webサーバ コンテンツキャッシュ 安定、高速、高機能 必要となるリソースは最小 NGINX Controller NGINX+統合管理ソフトウェア NGINX+のロードバランサやAPI Gateway、更にマルチクラウド環 境においても容易に管理が可能。 GUI/CLIに加えAPIでの制御が可能 NGINX App Protect アプリケーションに特化した Web Application Firewall NGINX+にシームレスに統合可能 な新しいWAF。 F5の実績に基づき、 高速な高品質なWAFを実現 High quality Support
| ©2021 F5 9 NGINX コンテナ環境向け製品 DELIVERING MODERN APPLICATIONS AT SCALE ACROSS SEAMLESSLY ACROSS MULTI-CLOUD NGINX Service Mesh NGINX Plusで複雑なマイクロ サービス、アプリケーション間の 通信問題を解決するシンプルな サービスメッシュソリューション。 Amazon EKS, Azure AKS対応 NGINX Ingress Controller Kubernetes環境への 外部アクセスをコントロール。 NGINX機能をIngressリソース を通じて管理可能。 NGINX App Protect対応 High quality Support
| ©2021 F5 10 Red Hat & NGINX Partnership
| ©2021 F5 11 F5 & Red Hat Partnership F5 / NGINX xRedHatによる強力なパートナーシップ
| ©2021 F5 12 F5 & Red Hat Partnership マルチクラウド環境全体に追いて、安全に安心してアプリケーションを提供するプラットフォームを CERTIFIED SOLUTIONを通じて高度な自動化とともに提供することが我々のミッションです F5 Advanced WAF や NGINX App Protectによる高度な制御に より優れたAPI Security を実現します 優れた API Security F5 BIG-IPやNGINXと共にインフラ全体とアプリケーションサー ビスをRed hat Ansibleで自動化できます 自動化 F5 CISやNGINX KICを用いたトラフィック制御によりRed Hat Open Shift環境での優れたアプリケーションサービスを実現します コンテナ環境の アプリケーション
| ©2021 F5 13 Open ShiftとNGINXの活用
| ©2021 F5 14 アプリケーションを提供するためには様々なサービスの 活用が必要 Code Ingress Controller App / web server DNS DDoS CDN Load balancer API gateway App Security Customer DEVOPS / APPLICATIONS NETOPS / OPERATIONS
| ©2021 F5 15 アプリケーションを提供するためには様々なサービスの 活用が必要 DEVOPS / APPLICATIONS NETOPS / OPERATIONS Edge Ingress Controller pod pod pod pod pod Per-Pod proxy Per-Service proxy Code Customer
| ©2021 F5 16 コンテナプラットフォームに最適なNGINX Technology Source: Datadog Container Report2020 The Top Technologies Running on Docker Top Ingress Providers CNCF Survey Source: CNCF Survey 2020
| ©2021 F5 17 OpenShift環境における Ingress Trafficの処理
| ©2021 F5 18 『Ingress Traffic』に対して求められる対応 “OpenShift内で動作するサービスを外部の ユーザに対して公開したい” “セキュリティや、我々DevOpsチームが 管理・提供できる接続の管理を提供する信 頼性の高い手法が必要である” “複数のDevOpsチームが存在するため、 マルチテナント環境が求められる” https://medium.com/avmconsulting-blog/service-types-in-kubernetes-24a1587677d6
| ©2021 F5 19 RedHat OpenShift Router / NGINX Ingress Controller RedHat OpenShift Router (OSR) NGINX Ingress Controller 実行環境 OpenShift環境をサポート Openshift、Kubernetes環境をサポート 設定方法 OpenShiftRoutes、 Basic Kubernetes IngressResources Kubernetes IngressResources、 NGINX Ingress Resources 機能の充実度 基本的な機能群 詳細な設定が可能な機能群 マルチテナント対応 サービス毎の利用 サービス毎の利用に加え、VirtualServer/ Virtual ServerRoute (CRD)による柔軟な設定 Technology Load Balancer HAProxy 2.0 NGINX / NGINX Plus 設定内容 基本的な機能のサポート 柔軟な設定パラメータ OpenShift Router Ingress Controller
| ©2021 F5 20 RedHat OpenShift Router and NGINX Ingress Controller RedHat OpenShift Router (OSR) NGINX Ingress Controller Features 対応トラフィック HTTP,TLS, H2, GRPC,SNI passthrough 左記に加え、TCP/ UDPに対応 リクエストに対する操作 Load Balancing 左記に加え、URL Rewriteや、Redirect,Direct Responseに対応 ルーティング 基本的なルーティング処理に対応 左記に加え、Request Parameterを用いた柔軟な 処理が可能 トラフィック処理 Rate limiting, SessionPersistence,Canary, B|G 左記に加え、Queuing, 詳細はHealth Checksパラ メータ*, Slow Start* セキュリティ機能 IP ACL 左記に加え、JWT*and OAuth authentication*, Web ApplicationFirewall* Multi-tenant Support Basic – listens for routes in multiple namespaces 左記に加え、Ingress/ Virtual Server / Virtual Server Route(CRD)による柔軟な設定 Observability Prometheus Metrics 左記に加え、OpenTracing traces * NGINX Plus only
| ©2021 F5 21 Ingress Controller / NGINX Ingress Operator
| ©2021 F5 22 RedHat OpenShift NGINX Ingress Operator SIMPLIFIED KIC LIFECYCLE MANAGEMENT • フルサポートで優れた機能を持つOpenShift 4.x向 けKubernetes Ingress Controller(KIC)を提供 • 管理者によりOperatorを用いてインストールした 後、一つのマニフェストファイルでKIC Clusterを デプロイ可能 • KICの設定や管理に関するライフサイクルの複雑さ を抽象化できる • OpenShift Operator Hub UI からクリックでイン ストール可能 • ロードマップ: Vanilla Kubernetes support, KIC の集計された統計情報の提供, NGINXステートフル 機能の管理 (e.g. k/v store, HA zone sync) Basic manifestを用いて最小限の項目で設定可能。ただし、様々なオプション変数 の利用が可能 (https://github.com/nginxinc/nginx-ingress-operator) Point and click install
| ©2021 F5 23 RedHat OpenShift NGINX Ingress Operator
| ©2021 F5 24 RedHat OpenShift NGINX Ingress Operator
| ©2021 F5 25 Ingress Controller とは? Kubernetes Cluster pod pod pod pod Service A pod pod pod pod Service B pod pod pod pod Service C Ingress Controllers Kubernetes環境に特化したL7LB機能: • Kubernetesプラットフォーム外部から のトラフィックを受け取り、 Kubernetes内のPod(Containers)に 対して負荷分散を行う • Kubernetes APIを用いてIngress Resourceというオブジェクトを用いて 設定する • Kubernetes環境のPodをモニターし、 自動的に負荷分散設定を更新する。 例:Podの増減に対する対応 Kubernetes API Ingress Resources Service information
| ©2021 F5 26 NGINX Ingress Controller - Architecture apiVersion: extensions/v1beta1 kind: Ingress metadata: name: hello-ingress spec: tls: - hosts: - hello.example.com secretName: hello-secret rules: - host: hello.example.com http: paths: - path: / backend: serviceName: hello-svc servicePort: 80 Ingress Controller daemon Kubernetes/OpenShift API NGINX conf Rewrite nginx.conf NGINX Plus API NGINX or NGINX Plus External IP Kubernetes Ingress Resources Service information hello-svc NGINX Ingress Resources pod pod pod pod
| ©2021 F5 27 NGINX Ingress Resources VirtualServer / VirtualServerRoute Host TLS Upstreams Routes - Path Action Split Match Route ErrorPage pass redirect return proxy delegation optional Host TLS Upstreams Routes - Path Action Split Match Route ErrorPage pass redirect return proxy delegation optional Host TLS Policies Upstreams Routes - Path Policies Action Split Match Route ErrorPage pass redirect return proxy delegation VirtualServer Host Upstreams Subroutes - Path Action Split Match ErrorPage pass redirect return proxy Host Upstreams Subroutes - Path Action Split Match ErrorPage pass redirect return proxy Host Upstreams Subroutes - Path Policies Action Split Match ErrorPage pass redirect return proxy VirtualServerRoute Policies Access Control Rate Limiting Authentication (JWT) Ingress mTLS Egress mTLS Access Control Rate Limiting Authentication (JWT) Ingress mTLS Egress mTLS Access Control Rate Limiting Authentication (JWT) Ingress mTLS Egress mTLS NGINX server configuration NGINX http configuration Server and HTTP snippets NGINX location configuration Location snippets
| ©2021 F5 28 OpenShift 環境で実現する アプリケーションセキュリティ
| ©2021 F5 29 OpenShiftで効率的なアプリケーションセキュリティ Kubernetes Cluster pod pod pod pod Service A pod pod pod pod Service B pod pod pod pod Service C • NGINX Ingress Controller 高速・大容量通信時にも安定動作 帯域・コネクションリミットによる不要な通信の拒否 • JWT validation (OAuth, OIDC) アプリケーションに接続するユーザが正しいユーザで あるかJWTを評価し、判定します • WAF App Protect を用いて高度なWeb Application Securityを実現することが可能です アプリケーションに手を加えることなくセキュリティを追加: NGINX App Protect Ingress Controllers
| ©2021 F5 30 OpenShiftで効率的なアプリケーションセキュリティ JWT validation (OAuth, OIDC) annotations: nginx.com/jwt-key: "cafe-jwk" nginx.com/jwt-realm: "Cafe App" nginx.com/jwt-token: "$cookie_auth_token" nginx.com/jwt-login-url:"https://login.example.com" https://github.com/nginxinc/kubernetes-ingress/tree/v1.10.0/examples/jwt Ingress Policy jwt: secret: jwk-secret realm: "My API" token: $http_token https://docs.nginx.com/nginx-ingress-controller/configuration/policy-resource/#jwt https://docs.nginx.com/nginx-ingress-controller/configuration/ingress-resources/advanced-configuration-with-annotations/
| ©2021 F5 31 OpenShiftで効率的なアプリケーションセキュリティ WAF annotations: kubernetes.io/ingress.class: "nginx" appprotect.f5.com/app-protect-policy: "default/dataguard-alarm" appprotect.f5.com/app-protect-enable: "True" appprotect.f5.com/app-protect-security-log-enable: "True" appprotect.f5.com/app-protect-security-log: "default/logconf" appprotect.f5.com/app-protect-security-log-destination: "syslog:server=127.0.0.1:514" Policy apiVersion: appprotect.f5.com/v1beta1 kind: APPolicy metadata: name: dataguard-blocking spec: policy: name: dataguard_blocking template: name: POLICY_TEMPLATE_NGINX_BASE applicationLanguage: utf-8 enforcementMode: blocking blocking-settings: violations: - name: VIOL_DATA_GUARD alarm: true block: true https://docs.nginx.com/nginx-ingress-controller/app-protect/configuration/ https://github.com/nginxinc/kubernetes-ingress/tree/v1.10.0/examples/appprotect Ingress https://docs.nginx.com/nginx-ingress-controller/configuration/ingress-resources/advanced-configuration-with-annotations/ WAF Policyの設定例 その他 Security Logや Signatureの設定が可能
| ©2021 F5 32 OpenShift 環境における 効果的なセキュリティ機能の実装
| ©2021 F5 33 2種類のWAF利用者について考える NetOps/SecOps: • 運用を主としたチーム • 安定したアプリケーション • 最重要な課題:ガバナンス、安定性、予測可 能性 DevSecOps/DevOps: • それぞれの要件に応じて分散化されたチーム • 複数のアプリケーション、数多くの開発中の プロダクト • 最重要な課題:最短での市場投入、即座に進 化(革新的な機能のリリース)ができること Edge Customer DEVOPS / APPLICATIONS NETOPS / OPERATIONS Ingress Controller pod pod pod pod pod Per-Pod proxy Per-Service proxy Service Mesh network
| ©2021 F5 34 担当/提供箇所の整理 At Edge Ingress Controller Per-Service Proxy Per-Pod Proxy Within Mesh 担当者 SecOps SecOps/DevSecOps DevSecOps DevOps DevOps スコープ サービス全体 サービス毎・URI毎 サービス毎 Endpoint毎 コンテナレベルの詳 細な制御 コスト・効率性 中~高 (統合によるメリット) 高 (統合によるメリット) 良 普通 構成・運用など統合 的な考慮が必要 設定管理方法 nginx.conf K8s API nginx.conf nginx.conf Mesh機能での管理 需要 高 高 中 普通 ー Edge Ingress Controller pod pod pod pod pod Per-Pod proxy Per-Service proxy Service Mesh network 将来的に対応
| ©2021 F5 35 エッジ環境でのWAFの実装 DEPLOY WAF POLICIES OUTSIDE KUBERNETES, ON LOCAL BIG-IP OR CLOUD-BASED WAF NetOps/SecOpsを中心としたアプローチ K8S外など、エッジLBをとしての主要なユー スケースです NetOps/SecOpsは App/DevOpsチームへF5 Application Serviceを自動化などで利用でき る状態で提供します F5 AWAFが利用される場合もあります NetOps/SecOpsが管理するWAFとしての提供する際に適した構成 Edge Ingress Controller pod pod pod pod pod Per-Pod proxy Per-Service proxy Service Mesh network
| ©2021 F5 36 Ingress ControllerでのWAFの実装 DEPLOY WAF POLICIES ON THE INGRESS CONTROLLER, CONFIGURED USING KUBERNETES API SecOpsやDevSecOps向けのKubernetes-nativeとして提供する際に適した構成 Edge Ingress Controller pod pod pod pod pod Per-Pod proxy Per-Service proxy Service Mesh network K8s SecOps/DevSecOpsを中心としたアプ ローチ NetOpsやDevOpsチーム配下でWAFポリシー を管理する場合に適したソリューション ポリシーはKubernetes APIを用いて運用される NGINX Ingress Controller RBACで以下のよう な機能が可能: • 管理者(Admin)はリスナーごとにポリシー を強制することが可能 • DevOpsユーザはIngress Resourceごとにポ リシーを選択することが可能
| ©2021 F5 37 特定サービス向けK8S環境でのWAFの実装 DEPLOY WAF POLICIES FOR A SPECIFIC SERVICE USING A PROXY TIER IN FRONT OF THE SERVICE DevSecOpsを中心としたアプローチ 特定の小さな複数のサービスで、 DevSecOpsチームにてポリシーを管理する 場合に適したソリューション WAFをFront-End Proxyとして実装し、サー ビスを保護する • セキュアに実装することが用意 • Per Service Proxyの箇所でWAFの更新や 構成管理が必要となる サービス毎のリソース制御が用意になり、IC 設定の複雑性を減らすことができる 特定デバイス向けのDevSecOps管理のWAFとして提供する際に適した構成 Edge Ingress Controller pod pod pod pod pod Per-Pod proxy Per-Service proxy Service Mesh network
| ©2021 F5 38 特定PodへのK8S環境でのWAFの実装 DEPLOY WAF POLICIES FOR A SPECIFIC POD/INSTANCE, EMBEDDING NGINX PLUS WITHIN THE POD AppOwnerを中心としたアプローチ App OwnerがWAFをアプリケーションに合 わせて管理する場合に適したソリューション ApplicationごとにProxyを配置し、WAF機能 を利用 • CI/CDを用いて実装、テスト、デプロイ を実施 • WAFを更新する場合アプリケーション Podの構築が必要 アプリケーション・サービスとともに密接な WAFを管理が必要となる場合に求められる AppOwnerがWAF Policyを管理する場合に適した構成 Good use case: 古いアプリケーションをコンテナ化 し、脆弱性が内包されている場合 Edge Ingress Controller pod pod pod pod pod Per-Pod proxy Per-Service proxy Service Mesh network
| ©2021 F5 39 まとめ
| ©2021 F5 40 まとめ OpenShift(や、Kubernetes)は限定的ではあるがシンプルな利用に特化したデフォルトのIngress Solutionが存在する NGINXの機能とOpenShiftの便利な管理機能を組み合わせることにより、 高速なアプリケーションデリバリと強固なセキュリティを実現することが可能です NGINX Plus Ingress Controller のようにThird-party Ingress Controllersはより優れた機能を提供: • スケーラビリティ・パフォーマンス: マルチテナント、パフォーマンス最適化を各チームやアプリケー ションに対し提供することが可能です • 機能: routing, rate limiting, authentication, rewriteなど。Canary, Blue-Green, Circuit Breakersの実 装が可能 • セキュリティ: ユーザを適切に認証して安全なアクセス:JWT 外部から悪意ある通信に対する防御・アプリケーションの脆弱性に対する瞬時の防御:WAF
| ©2021 F5 41 お問い合わせフォーム • 製品に関するお問い合わせ • 購入に関するお問い合わせ • 構成・設計に関するご相談 など https://www.nginx.co.jp/contact-sales/ お気軽にお問い合わせください
| ©2021 F5 42 https://www.nginx.co.jp/free-trial-request/ https://www.nginx.co.jp/free-trial-request-nginx-controller/ NGINX Plus, NGINX App Protect 無料トライアル NGINX Plusは、オールインワン型のソフトウェアロードバランサ、コンテンツ キャッシュ、Webサーバ、APIゲートウェイ、マイクロサービスプロキシです。 NGINX App Protectは、業界トップクラスのF5の高度なWAFテクノロジーを NGINX Plusに搭載し最新のアプリケーションセキュリティを提供します。 この2つの技術の融合により、最新の分散型環境におけるWeb/モバイルアプリケー ションの拡張性と保護が実現します。 NGINX Controllerの評価版 NGINX Controllerは、NGINXデータプレーンを管理するNGINXのコントロール プレーンソリューションです。マルチクラウド環境でロードバランサ―、APIゲート ウェイ、およびサービスメッシュのスケーラブルな実装を容易に集中管理することが できます。 お申し込みのお客様向けに、NGINX Controllerの無償評価版をご用意しています。 NGINX Plus無料トライアル NGINX Controller 無料トライアル 無料トライアル
Openshift NGINX Kubernetes (Japanese Webinar)

More Related Content

What's hot (20)

PDF
Kongの概要と導入事例
briscola-tokyo
 
PDF
vSphere 7 へのアップグレードについて
富士通クラウドテクノロジーズ株式会社
 
PDF
AWSとオンプレミスを繋ぐときに知っておきたいルーティングの基礎知識(CCSI監修!)
Trainocate Japan, Ltd.
 
PDF
AWS IoT SiteWise のご紹介 (AWS IoT Deep Dive #5)
Amazon Web Services Japan
 
PDF
20191016 AWS Black Belt Online Seminar Amazon Route 53 Resolver
Amazon Web Services Japan
 
PDF
20190522 AWS Black Belt Online Seminar AWS Step Functions
Amazon Web Services Japan
 
PPTX
Istioサービスメッシュ入門
Yoichi Kawasaki
 
PDF
AWS Black Belt Online Seminar 2017 Amazon DynamoDB
Amazon Web Services Japan
 
PDF
Amazon Athena 初心者向けハンズオン
Amazon Web Services Japan
 
PDF
AWS Black Belt Online Seminar 2017 AWS X-Ray
Amazon Web Services Japan
 
PDF
20210526 AWS Expert Online マルチアカウント管理の基本
Amazon Web Services Japan
 
PDF
20190731 Black Belt Online Seminar Amazon ECS Deep Dive
Amazon Web Services Japan
 
PDF
多要素認証による Amazon WorkSpaces の利用
Amazon Web Services Japan
 
PDF
データ活用を加速するAWS分析サービスのご紹介
Amazon Web Services Japan
 
PDF
20200422 AWS Black Belt Online Seminar Amazon Elastic Container Service (Amaz...
Amazon Web Services Japan
 
PDF
【第26回Elasticsearch勉強会】Logstashとともに振り返る、やっちまった事例ごった煮
Hibino Hisashi
 
PDF
Oracle GoldenGate入門
オラクルエンジニア通信
 
PDF
20190814 AWS Black Belt Online Seminar AWS Serverless Application Model
Amazon Web Services Japan
 
PDF
20210316 AWS Black Belt Online Seminar AWS DataSync
Amazon Web Services Japan
 
PDF
Azure Network 概要
Takeshi Fukuhara
 
Kongの概要と導入事例
briscola-tokyo
 
vSphere 7 へのアップグレードについて
富士通クラウドテクノロジーズ株式会社
 
AWSとオンプレミスを繋ぐときに知っておきたいルーティングの基礎知識(CCSI監修!)
Trainocate Japan, Ltd.
 
AWS IoT SiteWise のご紹介 (AWS IoT Deep Dive #5)
Amazon Web Services Japan
 
20191016 AWS Black Belt Online Seminar Amazon Route 53 Resolver
Amazon Web Services Japan
 
20190522 AWS Black Belt Online Seminar AWS Step Functions
Amazon Web Services Japan
 
Istioサービスメッシュ入門
Yoichi Kawasaki
 
AWS Black Belt Online Seminar 2017 Amazon DynamoDB
Amazon Web Services Japan
 
Amazon Athena 初心者向けハンズオン
Amazon Web Services Japan
 
AWS Black Belt Online Seminar 2017 AWS X-Ray
Amazon Web Services Japan
 
20210526 AWS Expert Online マルチアカウント管理の基本
Amazon Web Services Japan
 
20190731 Black Belt Online Seminar Amazon ECS Deep Dive
Amazon Web Services Japan
 
多要素認証による Amazon WorkSpaces の利用
Amazon Web Services Japan
 
データ活用を加速するAWS分析サービスのご紹介
Amazon Web Services Japan
 
20200422 AWS Black Belt Online Seminar Amazon Elastic Container Service (Amaz...
Amazon Web Services Japan
 
【第26回Elasticsearch勉強会】Logstashとともに振り返る、やっちまった事例ごった煮
Hibino Hisashi
 
Oracle GoldenGate入門
オラクルエンジニア通信
 
20190814 AWS Black Belt Online Seminar AWS Serverless Application Model
Amazon Web Services Japan
 
20210316 AWS Black Belt Online Seminar AWS DataSync
Amazon Web Services Japan
 
Azure Network 概要
Takeshi Fukuhara
 

Similar to Openshift NGINX Kubernetes (Japanese Webinar) (20)

PDF
NGINX製品の最新機能アップデート情報
NGINX, Inc.
 
PDF
NGINX東京ハッピーアワー「DevOpsプラクティスによるクラウドでのKubernetesの利用」
Takaaki Suzuki
 
PDF
NGINX Instance Manager Tames the Sprawl (Japanese version)
NGINX, Inc.
 
PDF
【NGINXセミナー】 NGINXのWAFとは?その使い方と設定方法 解説セミナー
NGINX, Inc.
 
PPTX
Secure Kubernetes Apps in Production (Japanese Webinar)
NGINX, Inc.
 
PDF
NGINX Ingress Controller with WAF for Kubernetes
NGINX, Inc.
 
PPTX
Why NGINX Plus/NGINX Controller for NGINX OSS users
NGINX, Inc.
 
PPTX
NGINX New Features (Japanese Webinar)
NGINX, Inc.
 
PDF
Fundamentals of Microservices Japanese Webinar
NGINX, Inc.
 
PDF
NGINXセミナー(基本編)~いまさら聞けないNGINXコンフィグなど基本がわかる!
NGINX, Inc.
 
PDF
NGINX Ingress Controller on RedHat OpenShift.pdf
FumieNakayama
 
PPTX
API and Modern App Security for Microservices
NGINX, Inc.
 
PDF
NGINX Back to Basics: Ingress Controller (Japanese Webinar)
NGINX, Inc.
 
PPTX
NGINX Kubernetes API
NGINX, Inc.
 
PDF
k8sとOpenShiftの違いとは.pdf
FumieNakayama
 
PDF
【NGINXセミナー】API ゲートウェイとしてのNGINX Plus活用方法
NGINX, Inc.
 
PDF
[Cloud OnAir] Google Cloud Next '20: OnAir 特別編 〜世界で人気のあったセッション特集〜 2020年9月24日 放送
Google Cloud Platform - Japan
 
PDF
NFVアプリケーションをOpenStack上で動かす為に - OpenStack最新情報セミナー 2017年7月
VirtualTech Japan Inc.
 
PPSX
世界での実績No.1のOpenStackインストーラ – Fuel – の全貌は - OpenStack最新情報セミナー 2015年2月
VirtualTech Japan Inc.
 
PDF
OpenShift Ansbile 活用法 アプリケーションライフサイクルからみる導入効果
Hideaki Tokida
 
NGINX製品の最新機能アップデート情報
NGINX, Inc.
 
NGINX東京ハッピーアワー「DevOpsプラクティスによるクラウドでのKubernetesの利用」
Takaaki Suzuki
 
NGINX Instance Manager Tames the Sprawl (Japanese version)
NGINX, Inc.
 
【NGINXセミナー】 NGINXのWAFとは?その使い方と設定方法 解説セミナー
NGINX, Inc.
 
Secure Kubernetes Apps in Production (Japanese Webinar)
NGINX, Inc.
 
NGINX Ingress Controller with WAF for Kubernetes
NGINX, Inc.
 
Why NGINX Plus/NGINX Controller for NGINX OSS users
NGINX, Inc.
 
NGINX New Features (Japanese Webinar)
NGINX, Inc.
 
Fundamentals of Microservices Japanese Webinar
NGINX, Inc.
 
NGINXセミナー(基本編)~いまさら聞けないNGINXコンフィグなど基本がわかる!
NGINX, Inc.
 
NGINX Ingress Controller on RedHat OpenShift.pdf
FumieNakayama
 
API and Modern App Security for Microservices
NGINX, Inc.
 
NGINX Back to Basics: Ingress Controller (Japanese Webinar)
NGINX, Inc.
 
NGINX Kubernetes API
NGINX, Inc.
 
k8sとOpenShiftの違いとは.pdf
FumieNakayama
 
【NGINXセミナー】API ゲートウェイとしてのNGINX Plus活用方法
NGINX, Inc.
 
[Cloud OnAir] Google Cloud Next '20: OnAir 特別編 〜世界で人気のあったセッション特集〜 2020年9月24日 放送
Google Cloud Platform - Japan
 
NFVアプリケーションをOpenStack上で動かす為に - OpenStack最新情報セミナー 2017年7月
VirtualTech Japan Inc.
 
世界での実績No.1のOpenStackインストーラ – Fuel – の全貌は - OpenStack最新情報セミナー 2015年2月
VirtualTech Japan Inc.
 
OpenShift Ansbile 活用法 アプリケーションライフサイクルからみる導入効果
Hideaki Tokida
 
Ad

More from NGINX, Inc. (20)

PDF
【NGINXセミナー】 Ingressを使ってマイクロサービスの運用を楽にする方法
NGINX, Inc.
 
PPTX
Get Hands-On with NGINX and QUIC+HTTP/3
NGINX, Inc.
 
PPTX
Managing Kubernetes Cost and Performance with NGINX & Kubecost
NGINX, Inc.
 
PDF
Manage Microservices Chaos and Complexity with Observability
NGINX, Inc.
 
PDF
Accelerate Microservices Deployments with Automation
NGINX, Inc.
 
PDF
Unit 2: Microservices Secrets Management 101
NGINX, Inc.
 
PDF
Unit 1: Apply the Twelve-Factor App to Microservices Architectures
NGINX, Inc.
 
PDF
NGINX基本セミナー(セキュリティ編)~NGINXでセキュアなプラットフォームを実現する方法!
NGINX, Inc.
 
PDF
Easily View, Manage, and Scale Your App Security with F5 NGINX
NGINX, Inc.
 
PDF
Keep Ahead of Evolving Cyberattacks with OPSWAT and F5 NGINX
NGINX, Inc.
 
PPTX
Install and Configure NGINX Unit, the Universal Application, Web, and Proxy S...
NGINX, Inc.
 
PPTX
Protecting Apps from Hacks in Kubernetes with NGINX
NGINX, Inc.
 
PPTX
Successfully Implement Your API Strategy with NGINX
NGINX, Inc.
 
PPTX
Installing and Configuring NGINX Open Source
NGINX, Inc.
 
PPTX
Shift Left for More Secure Apps with F5 NGINX
NGINX, Inc.
 
PPTX
How to Avoid the Top 5 NGINX Configuration Mistakes.pptx
NGINX, Inc.
 
PDF
Kubernetes環境で実現するWebアプリケーションセキュリティ
NGINX, Inc.
 
PDF
Software Delivery and the Rube Goldberg Machine: What Is the Problem We Are T...
NGINX, Inc.
 
PDF
Open Sourcing NGINX Agent and Demo
NGINX, Inc.
 
PDF
NGINX, Open Source, and You – Another Decade of Innovation
NGINX, Inc.
 
【NGINXセミナー】 Ingressを使ってマイクロサービスの運用を楽にする方法
NGINX, Inc.
 
Get Hands-On with NGINX and QUIC+HTTP/3
NGINX, Inc.
 
Managing Kubernetes Cost and Performance with NGINX & Kubecost
NGINX, Inc.
 
Manage Microservices Chaos and Complexity with Observability
NGINX, Inc.
 
Accelerate Microservices Deployments with Automation
NGINX, Inc.
 
Unit 2: Microservices Secrets Management 101
NGINX, Inc.
 
Unit 1: Apply the Twelve-Factor App to Microservices Architectures
NGINX, Inc.
 
NGINX基本セミナー(セキュリティ編)~NGINXでセキュアなプラットフォームを実現する方法!
NGINX, Inc.
 
Easily View, Manage, and Scale Your App Security with F5 NGINX
NGINX, Inc.
 
Keep Ahead of Evolving Cyberattacks with OPSWAT and F5 NGINX
NGINX, Inc.
 
Install and Configure NGINX Unit, the Universal Application, Web, and Proxy S...
NGINX, Inc.
 
Protecting Apps from Hacks in Kubernetes with NGINX
NGINX, Inc.
 
Successfully Implement Your API Strategy with NGINX
NGINX, Inc.
 
Installing and Configuring NGINX Open Source
NGINX, Inc.
 
Shift Left for More Secure Apps with F5 NGINX
NGINX, Inc.
 
How to Avoid the Top 5 NGINX Configuration Mistakes.pptx
NGINX, Inc.
 
Kubernetes環境で実現するWebアプリケーションセキュリティ
NGINX, Inc.
 
Software Delivery and the Rube Goldberg Machine: What Is the Problem We Are T...
NGINX, Inc.
 
Open Sourcing NGINX Agent and Demo
NGINX, Inc.
 
NGINX, Open Source, and You – Another Decade of Innovation
NGINX, Inc.
 
Ad

Openshift NGINX Kubernetes (Japanese Webinar)

  • 2. | ©2021 F5 2 Agenda •NGINXのご紹介 •Red Hat & NGINX Partnership •Open ShiftとNGINXの活用 •デモ
  • 4. | ©2021 F5 4 NGINXの歴史 NGINX (オープンソース) 2011 : Nginx, Inc. 設立 2013 : Nginx Plusリリース 2017 : Announced; - NGINX Controller - NGINX Unit 等 2019 2014 : NGINXが世界中上位10,000 サイト中最も利用されているWebServerとなる 2004 : NGINX 最初のリリース 2002 : イゴール・シソエフ (CTO of NGINX, Inc.) NGINXの開発を開始 2008 : Chrome / Android 最初のリリー ス 2007 : iPhone 最初のリリース 2014 : 世界のスマートフォン 10億台超え 2017 : 世界のスマートフォン 15億台超え イゴール・シソエフ Apache httpdでは、1つのサーバー での同時アクセス数の上限に問題 (C10K問題)を感じていた。 Apache httpdより同時アクセス数の 多いサーバーソフトもあったが、機能 が限定されていた。「そこで、C10K 問題に対応しつつ、静的ファイルだけ でなくほかのサーバーとの連携機能を 持ったWebサーバーとしてNGINXを 開発することを決めた」 買収 2020 : シェアTOP(約36%)、 4.5億サイトでWebトラフィックを処理
  • 5. | ©2021 F5 5 WebServer Reverse Proxy and Cache WebServer Reverse Proxy and Cache
  • 6. | ©2021 F5 6 0000000000 Advanced Load Balancing Advanced Content Cache WebServer Reverse Proxy and Cache Advanced Monitoring & Management Advanced Security Controls
  • 7. | ©2021 F5 7 NGINX Plus – クラウドに依存せずポータブル ベアメタル マルチクラウド コンテナ Linux/BSD CPUs VMware vSphere Advanced Load Balancing Advanced Content Cache Web Server Reverse Proxy and Cache Advanced Monitoring & Management Advanced Security Controls
  • 8. | ©2021 F5 8 NGINX 製品 DELIVERING MODERN APPLICATIONS AT SCALE ACROSS SEAMLESSLY ACROSS MULTI-CLOUD NGINX Plus All-In-One Software ロードバランサー、 Webサーバ コンテンツキャッシュ 安定、高速、高機能 必要となるリソースは最小 NGINX Controller NGINX+統合管理ソフトウェア NGINX+のロードバランサやAPI Gateway、更にマルチクラウド環 境においても容易に管理が可能。 GUI/CLIに加えAPIでの制御が可能 NGINX App Protect アプリケーションに特化した Web Application Firewall NGINX+にシームレスに統合可能 な新しいWAF。 F5の実績に基づき、 高速な高品質なWAFを実現 High quality Support
  • 9. | ©2021 F5 9 NGINX コンテナ環境向け製品 DELIVERING MODERN APPLICATIONS AT SCALE ACROSS SEAMLESSLY ACROSS MULTI-CLOUD NGINX Service Mesh NGINX Plusで複雑なマイクロ サービス、アプリケーション間の 通信問題を解決するシンプルな サービスメッシュソリューション。 Amazon EKS, Azure AKS対応 NGINX Ingress Controller Kubernetes環境への 外部アクセスをコントロール。 NGINX機能をIngressリソース を通じて管理可能。 NGINX App Protect対応 High quality Support
  • 10. | ©2021 F5 10 Red Hat & NGINX Partnership
  • 11. | ©2021 F5 11 F5 & Red Hat Partnership F5 / NGINX xRedHatによる強力なパートナーシップ
  • 12. | ©2021 F5 12 F5 & Red Hat Partnership マルチクラウド環境全体に追いて、安全に安心してアプリケーションを提供するプラットフォームを CERTIFIED SOLUTIONを通じて高度な自動化とともに提供することが我々のミッションです F5 Advanced WAF や NGINX App Protectによる高度な制御に より優れたAPI Security を実現します 優れた API Security F5 BIG-IPやNGINXと共にインフラ全体とアプリケーションサー ビスをRed hat Ansibleで自動化できます 自動化 F5 CISやNGINX KICを用いたトラフィック制御によりRed Hat Open Shift環境での優れたアプリケーションサービスを実現します コンテナ環境の アプリケーション
  • 13. | ©2021 F5 13 Open ShiftとNGINXの活用
  • 14. | ©2021 F5 14 アプリケーションを提供するためには様々なサービスの 活用が必要 Code Ingress Controller App / web server DNS DDoS CDN Load balancer API gateway App Security Customer DEVOPS / APPLICATIONS NETOPS / OPERATIONS
  • 15. | ©2021 F5 15 アプリケーションを提供するためには様々なサービスの 活用が必要 DEVOPS / APPLICATIONS NETOPS / OPERATIONS Edge Ingress Controller pod pod pod pod pod Per-Pod proxy Per-Service proxy Code Customer
  • 16. | ©2021 F5 16 コンテナプラットフォームに最適なNGINX Technology Source: Datadog Container Report2020 The Top Technologies Running on Docker Top Ingress Providers CNCF Survey Source: CNCF Survey 2020
  • 18. | ©2021 F5 18 『Ingress Traffic』に対して求められる対応 “OpenShift内で動作するサービスを外部の ユーザに対して公開したい” “セキュリティや、我々DevOpsチームが 管理・提供できる接続の管理を提供する信 頼性の高い手法が必要である” “複数のDevOpsチームが存在するため、 マルチテナント環境が求められる” https://medium.com/avmconsulting-blog/service-types-in-kubernetes-24a1587677d6
  • 19. | ©2021 F5 19 RedHat OpenShift Router / NGINX Ingress Controller RedHat OpenShift Router (OSR) NGINX Ingress Controller 実行環境 OpenShift環境をサポート Openshift、Kubernetes環境をサポート 設定方法 OpenShiftRoutes、 Basic Kubernetes IngressResources Kubernetes IngressResources、 NGINX Ingress Resources 機能の充実度 基本的な機能群 詳細な設定が可能な機能群 マルチテナント対応 サービス毎の利用 サービス毎の利用に加え、VirtualServer/ Virtual ServerRoute (CRD)による柔軟な設定 Technology Load Balancer HAProxy 2.0 NGINX / NGINX Plus 設定内容 基本的な機能のサポート 柔軟な設定パラメータ OpenShift Router Ingress Controller
  • 20. | ©2021 F5 20 RedHat OpenShift Router and NGINX Ingress Controller RedHat OpenShift Router (OSR) NGINX Ingress Controller Features 対応トラフィック HTTP,TLS, H2, GRPC,SNI passthrough 左記に加え、TCP/ UDPに対応 リクエストに対する操作 Load Balancing 左記に加え、URL Rewriteや、Redirect,Direct Responseに対応 ルーティング 基本的なルーティング処理に対応 左記に加え、Request Parameterを用いた柔軟な 処理が可能 トラフィック処理 Rate limiting, SessionPersistence,Canary, B|G 左記に加え、Queuing, 詳細はHealth Checksパラ メータ*, Slow Start* セキュリティ機能 IP ACL 左記に加え、JWT*and OAuth authentication*, Web ApplicationFirewall* Multi-tenant Support Basic – listens for routes in multiple namespaces 左記に加え、Ingress/ Virtual Server / Virtual Server Route(CRD)による柔軟な設定 Observability Prometheus Metrics 左記に加え、OpenTracing traces * NGINX Plus only
  • 21. | ©2021 F5 21 Ingress Controller / NGINX Ingress Operator
  • 22. | ©2021 F5 22 RedHat OpenShift NGINX Ingress Operator SIMPLIFIED KIC LIFECYCLE MANAGEMENT • フルサポートで優れた機能を持つOpenShift 4.x向 けKubernetes Ingress Controller(KIC)を提供 • 管理者によりOperatorを用いてインストールした 後、一つのマニフェストファイルでKIC Clusterを デプロイ可能 • KICの設定や管理に関するライフサイクルの複雑さ を抽象化できる • OpenShift Operator Hub UI からクリックでイン ストール可能 • ロードマップ: Vanilla Kubernetes support, KIC の集計された統計情報の提供, NGINXステートフル 機能の管理 (e.g. k/v store, HA zone sync) Basic manifestを用いて最小限の項目で設定可能。ただし、様々なオプション変数 の利用が可能 (https://github.com/nginxinc/nginx-ingress-operator) Point and click install
  • 23. | ©2021 F5 23 RedHat OpenShift NGINX Ingress Operator
  • 24. | ©2021 F5 24 RedHat OpenShift NGINX Ingress Operator
  • 25. | ©2021 F5 25 Ingress Controller とは? Kubernetes Cluster pod pod pod pod Service A pod pod pod pod Service B pod pod pod pod Service C Ingress Controllers Kubernetes環境に特化したL7LB機能: • Kubernetesプラットフォーム外部から のトラフィックを受け取り、 Kubernetes内のPod(Containers)に 対して負荷分散を行う • Kubernetes APIを用いてIngress Resourceというオブジェクトを用いて 設定する • Kubernetes環境のPodをモニターし、 自動的に負荷分散設定を更新する。 例:Podの増減に対する対応 Kubernetes API Ingress Resources Service information
  • 26. | ©2021 F5 26 NGINX Ingress Controller - Architecture apiVersion: extensions/v1beta1 kind: Ingress metadata: name: hello-ingress spec: tls: - hosts: - hello.example.com secretName: hello-secret rules: - host: hello.example.com http: paths: - path: / backend: serviceName: hello-svc servicePort: 80 Ingress Controller daemon Kubernetes/OpenShift API NGINX conf Rewrite nginx.conf NGINX Plus API NGINX or NGINX Plus External IP Kubernetes Ingress Resources Service information hello-svc NGINX Ingress Resources pod pod pod pod
  • 27. | ©2021 F5 27 NGINX Ingress Resources VirtualServer / VirtualServerRoute Host TLS Upstreams Routes - Path Action Split Match Route ErrorPage pass redirect return proxy delegation optional Host TLS Upstreams Routes - Path Action Split Match Route ErrorPage pass redirect return proxy delegation optional Host TLS Policies Upstreams Routes - Path Policies Action Split Match Route ErrorPage pass redirect return proxy delegation VirtualServer Host Upstreams Subroutes - Path Action Split Match ErrorPage pass redirect return proxy Host Upstreams Subroutes - Path Action Split Match ErrorPage pass redirect return proxy Host Upstreams Subroutes - Path Policies Action Split Match ErrorPage pass redirect return proxy VirtualServerRoute Policies Access Control Rate Limiting Authentication (JWT) Ingress mTLS Egress mTLS Access Control Rate Limiting Authentication (JWT) Ingress mTLS Egress mTLS Access Control Rate Limiting Authentication (JWT) Ingress mTLS Egress mTLS NGINX server configuration NGINX http configuration Server and HTTP snippets NGINX location configuration Location snippets
  • 28. | ©2021 F5 28 OpenShift 環境で実現する アプリケーションセキュリティ
  • 29. | ©2021 F5 29 OpenShiftで効率的なアプリケーションセキュリティ Kubernetes Cluster pod pod pod pod Service A pod pod pod pod Service B pod pod pod pod Service C • NGINX Ingress Controller 高速・大容量通信時にも安定動作 帯域・コネクションリミットによる不要な通信の拒否 • JWT validation (OAuth, OIDC) アプリケーションに接続するユーザが正しいユーザで あるかJWTを評価し、判定します • WAF App Protect を用いて高度なWeb Application Securityを実現することが可能です アプリケーションに手を加えることなくセキュリティを追加: NGINX App Protect Ingress Controllers
  • 30. | ©2021 F5 30 OpenShiftで効率的なアプリケーションセキュリティ JWT validation (OAuth, OIDC) annotations: nginx.com/jwt-key: "cafe-jwk" nginx.com/jwt-realm: "Cafe App" nginx.com/jwt-token: "$cookie_auth_token" nginx.com/jwt-login-url:"https://login.example.com" https://github.com/nginxinc/kubernetes-ingress/tree/v1.10.0/examples/jwt Ingress Policy jwt: secret: jwk-secret realm: "My API" token: $http_token https://docs.nginx.com/nginx-ingress-controller/configuration/policy-resource/#jwt https://docs.nginx.com/nginx-ingress-controller/configuration/ingress-resources/advanced-configuration-with-annotations/
  • 31. | ©2021 F5 31 OpenShiftで効率的なアプリケーションセキュリティ WAF annotations: kubernetes.io/ingress.class: "nginx" appprotect.f5.com/app-protect-policy: "default/dataguard-alarm" appprotect.f5.com/app-protect-enable: "True" appprotect.f5.com/app-protect-security-log-enable: "True" appprotect.f5.com/app-protect-security-log: "default/logconf" appprotect.f5.com/app-protect-security-log-destination: "syslog:server=127.0.0.1:514" Policy apiVersion: appprotect.f5.com/v1beta1 kind: APPolicy metadata: name: dataguard-blocking spec: policy: name: dataguard_blocking template: name: POLICY_TEMPLATE_NGINX_BASE applicationLanguage: utf-8 enforcementMode: blocking blocking-settings: violations: - name: VIOL_DATA_GUARD alarm: true block: true https://docs.nginx.com/nginx-ingress-controller/app-protect/configuration/ https://github.com/nginxinc/kubernetes-ingress/tree/v1.10.0/examples/appprotect Ingress https://docs.nginx.com/nginx-ingress-controller/configuration/ingress-resources/advanced-configuration-with-annotations/ WAF Policyの設定例 その他 Security Logや Signatureの設定が可能
  • 32. | ©2021 F5 32 OpenShift 環境における 効果的なセキュリティ機能の実装
  • 33. | ©2021 F5 33 2種類のWAF利用者について考える NetOps/SecOps: • 運用を主としたチーム • 安定したアプリケーション • 最重要な課題:ガバナンス、安定性、予測可 能性 DevSecOps/DevOps: • それぞれの要件に応じて分散化されたチーム • 複数のアプリケーション、数多くの開発中の プロダクト • 最重要な課題:最短での市場投入、即座に進 化(革新的な機能のリリース)ができること Edge Customer DEVOPS / APPLICATIONS NETOPS / OPERATIONS Ingress Controller pod pod pod pod pod Per-Pod proxy Per-Service proxy Service Mesh network
  • 34. | ©2021 F5 34 担当/提供箇所の整理 At Edge Ingress Controller Per-Service Proxy Per-Pod Proxy Within Mesh 担当者 SecOps SecOps/DevSecOps DevSecOps DevOps DevOps スコープ サービス全体 サービス毎・URI毎 サービス毎 Endpoint毎 コンテナレベルの詳 細な制御 コスト・効率性 中~高 (統合によるメリット) 高 (統合によるメリット) 良 普通 構成・運用など統合 的な考慮が必要 設定管理方法 nginx.conf K8s API nginx.conf nginx.conf Mesh機能での管理 需要 高 高 中 普通 ー Edge Ingress Controller pod pod pod pod pod Per-Pod proxy Per-Service proxy Service Mesh network 将来的に対応
  • 35. | ©2021 F5 35 エッジ環境でのWAFの実装 DEPLOY WAF POLICIES OUTSIDE KUBERNETES, ON LOCAL BIG-IP OR CLOUD-BASED WAF NetOps/SecOpsを中心としたアプローチ K8S外など、エッジLBをとしての主要なユー スケースです NetOps/SecOpsは App/DevOpsチームへF5 Application Serviceを自動化などで利用でき る状態で提供します F5 AWAFが利用される場合もあります NetOps/SecOpsが管理するWAFとしての提供する際に適した構成 Edge Ingress Controller pod pod pod pod pod Per-Pod proxy Per-Service proxy Service Mesh network
  • 36. | ©2021 F5 36 Ingress ControllerでのWAFの実装 DEPLOY WAF POLICIES ON THE INGRESS CONTROLLER, CONFIGURED USING KUBERNETES API SecOpsやDevSecOps向けのKubernetes-nativeとして提供する際に適した構成 Edge Ingress Controller pod pod pod pod pod Per-Pod proxy Per-Service proxy Service Mesh network K8s SecOps/DevSecOpsを中心としたアプ ローチ NetOpsやDevOpsチーム配下でWAFポリシー を管理する場合に適したソリューション ポリシーはKubernetes APIを用いて運用される NGINX Ingress Controller RBACで以下のよう な機能が可能: • 管理者(Admin)はリスナーごとにポリシー を強制することが可能 • DevOpsユーザはIngress Resourceごとにポ リシーを選択することが可能
  • 37. | ©2021 F5 37 特定サービス向けK8S環境でのWAFの実装 DEPLOY WAF POLICIES FOR A SPECIFIC SERVICE USING A PROXY TIER IN FRONT OF THE SERVICE DevSecOpsを中心としたアプローチ 特定の小さな複数のサービスで、 DevSecOpsチームにてポリシーを管理する 場合に適したソリューション WAFをFront-End Proxyとして実装し、サー ビスを保護する • セキュアに実装することが用意 • Per Service Proxyの箇所でWAFの更新や 構成管理が必要となる サービス毎のリソース制御が用意になり、IC 設定の複雑性を減らすことができる 特定デバイス向けのDevSecOps管理のWAFとして提供する際に適した構成 Edge Ingress Controller pod pod pod pod pod Per-Pod proxy Per-Service proxy Service Mesh network
  • 38. | ©2021 F5 38 特定PodへのK8S環境でのWAFの実装 DEPLOY WAF POLICIES FOR A SPECIFIC POD/INSTANCE, EMBEDDING NGINX PLUS WITHIN THE POD AppOwnerを中心としたアプローチ App OwnerがWAFをアプリケーションに合 わせて管理する場合に適したソリューション ApplicationごとにProxyを配置し、WAF機能 を利用 • CI/CDを用いて実装、テスト、デプロイ を実施 • WAFを更新する場合アプリケーション Podの構築が必要 アプリケーション・サービスとともに密接な WAFを管理が必要となる場合に求められる AppOwnerがWAF Policyを管理する場合に適した構成 Good use case: 古いアプリケーションをコンテナ化 し、脆弱性が内包されている場合 Edge Ingress Controller pod pod pod pod pod Per-Pod proxy Per-Service proxy Service Mesh network
  • 40. | ©2021 F5 40 まとめ OpenShift(や、Kubernetes)は限定的ではあるがシンプルな利用に特化したデフォルトのIngress Solutionが存在する NGINXの機能とOpenShiftの便利な管理機能を組み合わせることにより、 高速なアプリケーションデリバリと強固なセキュリティを実現することが可能です NGINX Plus Ingress Controller のようにThird-party Ingress Controllersはより優れた機能を提供: • スケーラビリティ・パフォーマンス: マルチテナント、パフォーマンス最適化を各チームやアプリケー ションに対し提供することが可能です • 機能: routing, rate limiting, authentication, rewriteなど。Canary, Blue-Green, Circuit Breakersの実 装が可能 • セキュリティ: ユーザを適切に認証して安全なアクセス:JWT 外部から悪意ある通信に対する防御・アプリケーションの脆弱性に対する瞬時の防御:WAF
  • 41. | ©2021 F5 41 お問い合わせフォーム • 製品に関するお問い合わせ • 購入に関するお問い合わせ • 構成・設計に関するご相談 など https://www.nginx.co.jp/contact-sales/ お気軽にお問い合わせください
  • 42. | ©2021 F5 42 https://www.nginx.co.jp/free-trial-request/ https://www.nginx.co.jp/free-trial-request-nginx-controller/ NGINX Plus, NGINX App Protect 無料トライアル NGINX Plusは、オールインワン型のソフトウェアロードバランサ、コンテンツ キャッシュ、Webサーバ、APIゲートウェイ、マイクロサービスプロキシです。 NGINX App Protectは、業界トップクラスのF5の高度なWAFテクノロジーを NGINX Plusに搭載し最新のアプリケーションセキュリティを提供します。 この2つの技術の融合により、最新の分散型環境におけるWeb/モバイルアプリケー ションの拡張性と保護が実現します。 NGINX Controllerの評価版 NGINX Controllerは、NGINXデータプレーンを管理するNGINXのコントロール プレーンソリューションです。マルチクラウド環境でロードバランサ―、APIゲート ウェイ、およびサービスメッシュのスケーラブルな実装を容易に集中管理することが できます。 お申し込みのお客様向けに、NGINX Controllerの無償評価版をご用意しています。 NGINX Plus無料トライアル NGINX Controller 無料トライアル 無料トライアル