リソースホワイトペーパー

5G の成功はクラウドネイティブインフラストラクチャから始まる

5G はサービスプロバイダーのデジタル環境を変革し、新たなユースケースと収益機会をもたらします。 5G への移行に成功したサービスプロバイダーは、新しいエンタープライズアプリケーション、産業オートメーション、IoT、ゲームや AR/VR などの消費者向けサービスからメリットを得ることができます。これらの新しいユースケースは、クラウドネイティブのサービスベースアーキテクチャ (SBA) 上に構築された新しい 5G スタンドアロン (SA) コアによって実現されます。これらの新しい機会を最大限に活用するために、サービスプロバイダーは、5G コア、vRAN、N6-LAN ネットワーク機能 (NF)、およびエンタープライズとコンシューマーのアプリケーションとサービスをサポートできる、コアから末端までの一貫したクラウドネイティブインフラストラクチャを定義して展開する必要があります。クラウドネイティブインフラストラクチャは、サービスプロバイダーが 5G で成功するための基盤となります。

インフラストラクチャは 5G 展開の重要な構成要素であり、サービスプロバイダーが新しい 5G ユースケースを完全に実現できるかどうかを決定するため、サービスプロバイダーが独自の 5G クラウドネイティブインフラストラクチャを定義、管理、制御することが不可欠です。実際、インフラへの投資を集中させる前例は数多くあります。ハイパースケーラーの Google、AWS、Azure、さらには Apple を見てみると、これらの企業はすべて、収益を生み出すサービスと顧客アプリケーションを確実かつ安全に提供できるインフラストラクチャの構築に多額の投資を行ってきました。

5G インフラストラクチャは、今日の最新の Web アプリケーションを支えるテクノロジーを活用し、サービスプロバイダーに新たなレベルの運用自動化、柔軟性、適応性を実現するクラウドネイティブのコンテナ化アーキテクチャ上に構築されています。 Kubernetes はコンテナ管理とオーケストレーションの業界標準となり、ほぼすべてのサービスプロバイダーがクラウドネイティブインフラストラクチャに使用しています。ただし、サービスプロバイダーネットワークでは、Kubernetes クラスター内およびクラスターへのデータの流れに対して、新しい独自の要求が課せられます。 Kubernetes は、これらの要求を満たすためのネイティブな機能を備えていません。次のセクションでは、重要な vRAN、5G コア NF、エンタープライズおよびコンシューマーアプリケーションをサポートするためにクラウドネイティブインフラストラクチャが満たす必要のある固有の要件を検討し、F5 がこれらの要件にどのように対処するかについて説明します。

クラウドネイティブインフラストラクチャの制御、セキュリティ、可視性

サービスプロバイダーが信頼性が高く、安全で、スケーラブルなサービスを提供するには、次の 3 つの主要な要件を考慮する必要があります。

コントロール：サービスプロバイダーは、サービスプロバイダーネットワークに固有の複数のトラフィックタイプに対してポリシー制御を適用できる必要があります。インテリジェントなトラフィック管理を適用できるようになると、サービスプロバイダーはネットワークスライシングなどの新しいサービスをサポートし、4G から 5G プロトコルへの移行をサポートし、新しい 5G 対応のユースケースに必要な基盤を提供できるようになります。
安全：高いレベルの顧客の信頼と維持を維持するためには、ネットワーク内の複数のポイントと複数のレイヤーにセキュリティ制御を適用する必要があります。
可視性: インフラストラクチャへのトラフィックフローとインフラストラクチャ内のトラフィックフローを可視化することで、運用効率が向上し、トラブルシューティングの有効性が高まり、収益管理がより柔軟になります。

入口/出口制御

まず、「North-South トラフィック」とも呼ばれる Kubernetes クラスターの Ingress/Egress ネットワークの要件とソリューションを検討します。標準の Kubernetes ネットワークは、HTTP/HTTPS が Kubernetes クラスター内およびクラスター内における主要な通信プロトコルであるクラウド環境で実行されるほとんどの Web アプリケーションに十分です。サービスプロバイダー環境では、さまざまなプロトコルをサポートする必要があるため、Kubernetes ネットワークに特有の課題が生じます。 5G への移行は難しい切り替えではありません。ほとんどのサービスプロバイダーは 4G と 5G を同時に実行する必要があり、これを支援する移行ソリューションが必要です。たとえば、5G SA コアが展開されると、多くのサービスプロバイダーは既存の 4G 課金システムを活用して 5G の提供を加速し、5G への投資をより早く回収できるようになります。つまり、Kubernetes クラスターは 4G プロトコルと 5G プロトコルの両方をサポートする必要があるということです。既存の Kubernetes 機能を強化するには、イングレス/エグレス制御用のサービスプロキシが必要です。

図1: F5® BIG-IP® Service Proxy for Kubernetes を使用すると、複数のプロトコルのサポートが容易になります。

イングレス/エグレス制御を提供するサービスプロキシは、Kubernetes に拡張されたネットワークサービスを提供することで、サービスプロバイダーネットワークの厳しい要件を満たすことができます。

4Gおよび5Gシグナリングを含む複数のプロトコルをサポート
ルーティング
負荷分散

Kubernetes クラスターの入口では、サービスプロバイダーはクラスターを攻撃から保護し、サブスクライバーごとの可視性も提供する必要があります。クラスターへの進入ポイントに一連の堅牢なセキュリティサービスを適用することが、防御の第一線となります。 DDoS 保護、ファイアウォール、WAF などのセキュリティサービスを入口で適用して、悪意のあるトラフィックがクラスターに侵入し、5G コアネットワーク機能や顧客アプリケーションに影響を与えるのを防ぐことができます。イングレスセキュリティに加えて、サービスプロバイダーは加入者ごとのトラフィックの可視性も必要とします。この貴重なデータは、ネットワークの問題のトラブルシューティングに役立ち、収益の保証にも使用できます。サービスプロバイダーは、コンプライアンスと課金の目的でイベントを追跡できるようにするために、収益保証に多額の費用を費やしています。このデータは、Kubernetes クラスターのエントリポイントで収集され、動的なコンテナーセットからのレポートと比較されます。

図2: サービスプロキシは、入力時にデータを追跡することで、セキュリティと可視性を向上させることができます。

要約すると、イングレス/エグレス制御、セキュリティ、可視性を提供するサービスプロキシは、5G クラウドネイティブインフラストラクチャの要求を満たすために Kubernetes が必要とする重要な機能を提供します。

サービスメッシュ

Kubernetes ベースのクラウドネイティブインフラストラクチャへの南北トラフィックの要件について説明したので、クラスター内のトラフィックの要件と課題を検討できます。イングレスとエグレスと同様に、クラスター内で実行されているサービス間の東西通信は、クラウドネイティブの 5G インフラストラクチャと互換性を持たせるために、監視とセキュリティに関するより高い基準を満たす必要があります。サービスプロバイダーは、クラスター内のサービス間の通信を制御するセキュリティポリシーを適用できる必要があります。 5G コアの分散化により、クラスター内の可観測性をさらに高める必要性が生じ、サービスプロバイダーはサービスの健全性を評価し、健全でない場合は障害の根本原因を特定できるようになります。サービスプロバイダーは、自社のインフラストラクチャが合法的な傍受などの政府の要件を満たす能力を備えていることも確認する必要があります。これらの要件は、Kubernetes のネットワークと制御に課題をもたらします。これらの課題に対処する 1 つの方法は、Istio などのサービスメッシュを実装することです。これにより、次の機能が追加されます。

信頼性: 再試行、タイムアウト、連鎖障害の緩和
可観測性とデバッグ: 監視、トレース、メトリック
セキュリティ: authN/authZ、シークレットの管理、暗号化の確保
トラフィック管理: サービス検出、カスタムルーティング、カナリアデプロイ

図3: F5® Aspen Mesh™ は、Kubernetes クラスター内の東西通信の可視性とセキュリティを向上させます。

クラウドネイティブインフラストラクチャ向け F5 ソリューション

F5 は、アプリケーション、ネットワーク、セキュリティサービスのリーダーであり、5G コアおよびクラウドネイティブ 5G インフラストラクチャ向けの幅広いソリューションを提供しています。 F5 は、vRAN、5G コア、エンタープライズアプリケーションのネットワークとセキュリティの要件をサポートするクラウドネイティブインフラストラクチャを構築する際にサービスプロバイダーが直面する課題に対処する 2 つの主要製品を提供しています。

Kubernetes 向け F5 BIG-IP サービスプロキシ (BIG-IP SPK)
キャリアグレードのアスペンメッシュ

Kubernetes 向け BIG-IP サービスプロキシ (SPK)

BIG-IP SPK は業界でもユニークな製品で、サービスプロバイダーの拠点全体にクラウドネイティブインフラストラクチャを展開するために特別に設計された、マルチプロトコルシグナリングサポートとセキュリティを備えたイングレス/エグレス制御を提供します。 BIG-IP SPK は、構成とオーケストレーションの Kubernetes 設計パターンにも準拠しています。このソリューションにより、業界をリードするネットワーク機能とセキュリティ機能を Kubernetes ベースのインフラストラクチャに適用できるようになります。¹

入口/出口制御

L4 負荷分散: TCP、UDP、SCTP
L7 負荷分散: 直径、SIP、HTTP/2
GTPcV2 負荷分散
ルーティング
レート制限

安全

シグナリングファイアウォール、DDoS、WAF
暗号化/復号化
トポロジーの隠蔽

可視性

収益保証
統計と分析

さらに、BIG-IP SPK は Intel SmartNIC の強化された機能を活用して、パフォーマンスとスケーラビリティを向上させることができます。

図4: BIG-IP Service Proxy for Kubernetes は SmartNIC と統合してパフォーマンスを向上できます。

キャリアグレードのアスペンメッシュ

キャリアグレードの Aspen Mesh は、サービスプロバイダーのクラウドネイティブインフラストラクチャ向けに特別に構築されたサービスメッシュです。 Aspen Mesh サービスメッシュはオープンソースの Istio 上に構築されており、サービスプロバイダーネットワークに重要な機能を追加します。

各 5G コア Kubernetes クラスター内で比類のないトラフィック可視性を実現し、収益を保証し、サービスプロバイダーが既存の課金システムを使用して 5G を収益化できるようにします。
最も強力な mTLS 技術に基づいて構築され、キャリアグレードの 3GPP 互換の証明機関に結び付けられた、マルチベンダーおよびマルチサイトのネットワーク機能間のすべてのトラフィックを暗号化および認証する一貫したアプローチによる、より強力なセキュリティ。
トラフィック制御とポリシー管理により、サービスプロバイダーはサービス通信を効率的にルーティングし、サービスメッシュとネットワークトラフィックのビジネスポリシーとコンプライアンスポリシーを構成および適用できます。

Aspen Mesh は、標準の Kubernetes では提供されていないパケットキャプチャ機能も提供します。パケットキャプチャにより、クラスター内の CNF 間の通信問題のトラブルシューティングが容易になり、合法的な傍受などの政府の要件に準拠するために必要なインフラストラクチャがサービスプロバイダーに提供されます。

5G コアの例

BIG-IP SPK と Carrier-Grade Aspen Mesh は連携して動作し、5G クラウドネイティブインフラストラクチャで Kubernetes を使用する際の課題を解決します。 BIG-IP SPK は、Kubernetes クラスターへのトラフィックのマルチプロトコルシグナリングサポート、セキュリティ、可視性のニーズに対応し、キャリアグレードの Aspen Mesh は CNF 間の通信に対応します。これらはどちらも、5G クラウドネイティブインフラストラクチャの展開に不可欠な機能です。下の図は、BIG-IP SPK と Aspen Mesh を活用した 5G インフラストラクチャを示しています。

図5: クラウドネイティブネットワークアーキテクチャ

結論

サービスプロバイダーは、クラウドネイティブインフラストラクチャが 5G 展開の成功と、新しい 5G 対応ネットワークによって実現されるアプリケーションとサービスをサポートする能力において中心的な役割を果たすことを理解しています。サービスプロバイダーは、5G クラウドネイティブインフラストラクチャに必要な制御、セキュリティ、可視性を提供するソリューションを求めています。 F5 はサービスプロバイダーネットワークの要求を理解しており、サービスプロバイダーが Kubernetes を使用してクラウドネイティブの 5G インフラストラクチャを正常に構築および展開できるようにするソリューションを提供します。

¹ 機能の可用性については F5 にお問い合わせください。