ブログ | CTO オフィス

F5 金曜日: コンテナ Ingress サービスが K8s ネイティブに対応

ロリ・マクヴィッティ サムネイル
ロリ・マクヴィッティ
2019年4月19日公開

コンテナの世界は驚異的な速度で成熟し続けています。 オンプレミスとクラウドの両方でコンテナ関連のapplicationサービスが採用されていることは、このテクノロジが初期テクノロジから短期間で成熟したエコシステムへと進化したことを示す良い指標です。

それが成熟するにつれて、それをサポートするために必要なエンタープライズ クラスのテクノロジの統合も進みます。 コンテナ エコシステムの迅速な統合と拡張を可能にするAPI エコノミーも、成熟と微調整が進み続けています。

この成熟の興味深い点の 1 つは、従来のエンタープライズ クラスの製品が Kubernetes のようなコンテナー オーケストレーション環境の方向に移行することを奨励していることです。 「その方向に進む」とは、ドメインの専門知識を抽象化する宣言型 API モデルなどのアイデアを迅速に採用することを意味します。 言い換えれば、BIG-IP などのシステムとサービスの統合と組み込みを簡素化し、より幅広い役割でテクノロジを構成、展開、運用できるようにします。

これは重要なことです。なぜなら、Webapplicationファイアウォールなどの一部のapplicationサービスは、NS イングレス内のコンテナーから上流にデプロイされた場合に、攻撃とその望ましくない結果に対処するのに最も効率的かつ効果的だからです。 しかし、そのためには、BIG-IP と WAF の用語と概念の両方に関する広範なドメイン専門知識が必要になることがよくあります。 この障害に対処することが、当社の自動化およびオーケストレーションの取り組みの主な目的であり、 F5 Automation Toolchainの急速な進化からもそれがわかります。

そのツールチェーン内には、 F5 Application Services 3 Extension (AS3) があります。 AS3 は、BIG-IP に最新の (node.js) インターフェイスを提供し、宣言型構成を使用して BIG-IP 配信のapplicationサービスをプロビジョニングおよび操作できるようにします。 最新バージョンのContainer Ingress Services (CIS)と組み合わせると、コンテナ環境のオペレーターは BIG-IP が提供するapplicationサービスを利用して、API とapplicationsを保護し、高速化することができます。

Container Ingress Services は、コンテナ サービスと BIG-IP を結び付ける Kubernetes ネイティブ サービスです。 変更を監視し、それを BIG-IP が提供するapplicationサービスに伝達します。 これにより、コンテナ環境の急速な変化に対応し、セキュリティ ポリシーの適用が可能になります。

この最新リビジョン (Container Ingress Services 1.9) は、アノテーションの使用からConfigMapsに移行することで、統合のためのネイティブ Kubernetes サポートを導入しているため、非常に興味深いものです。 つまり、ConfigMap のデータ フィールドに AS3 宣言を挿入することで、使い慣れた Kubernetes 言語を使用して F5applicationサービスを統合できます。 これには、証明書の埋め込み、負荷分散アルゴリズムの選択、API またはapplicationに対する最低限の OWASP Top 10 保護の導入が含まれます。

最新の Kubernetes 対応宣言により、リポジトリからポリシー宣言を取得することもできます。 これにより、SecDevOps (または DevSecOps、あるいは単に SecOps、お好みに応じて) は、セキュリティや WAF の専門知識を要求することで DevOps に負担をかけずに、セキュリティをシフトレフトできます。

親切: ConfigMap 
apiVersion: v1 
メタデータ: 
名前: f5-waf
名前空間: default
ラベル:
f5type: virtual-server
as3: "true"

データ:
テンプレート: |
{

 # ここでサービス、プール、およびログの宣言を行います

        "policyWAF": {
"使用: "owaspautotune"
}

 # モニターとプール メンバーの宣言はここにあります

         "owaspautotune": {
"クラス": "WAF ポリシー",
"url": "https://repository/pathToConfig/f5-as3-declarations/master/Common_WAF_Policy.xml",
"ignoreChanges": true
}

このネイティブ サポートにより、DevOps と DevSecOps では、これらのチームが運用する API、applications、サービスに対して Webapplicationファイアウォールを簡単かつ迅速に展開できるようになります。 現在、イングレスやロードバランサー向けのような、セキュリティ関連のサービスを具体的に有効にする Kubernetes 言語は存在しません。 Container Ingress Services は、ConfigMaps の使用をサポートすることで、より自然で使い慣れたメカニズムを使用してapplicationセキュリティを Kubernetes と統合する簡素化された手段を提供します。

リソース

Githubから最新のF5 AS3を入手する

Docker Hub の最新 (v1.9) コンテナ イングレス サービス