블로그 | CTO 사무실

F5 금요일: 컨테이너 인그레스 서비스가 K8s 네이티브를 얻습니다

로리 맥비티 썸네일
로리 맥비티
2019년 4월 19일 게시

컨테이너의 세계는 놀라운 속도로 계속 발전하고 있습니다. 온프레미스와 클라우드 모두에서 컨테이너 관련 애플리케이션 서비스가 도입되고 있는 것은 이 기술이 초기 기술에서 벗어나 단기간에 성숙한 생태계로 발전하고 있음을 보여주는 좋은 지표입니다.

기술이 성숙해짐에 따라, 이를 지원하는 데 필요한 엔터프라이즈급 기술의 통합도 함께 이루어집니다. 우리는 다른 API 경제 의 지속적인 성숙과 세부조정을 보고 있습니다. 이를 통해 컨테이너 생태계의 빠른 통합과 확장이 가능해집니다.

이러한 성숙에 대한 흥미로운 점 중 하나는 기존에 기업용이었던 제품이 Kubernetes와 같은 컨테이너 오케스트레이션 환경으로 이동하도록 장려한다는 것입니다. "방향으로 이동한다"는 말은 도메인 전문 지식을 추상화하는 선언적 API 모델과 같은 아이디어를 신속하게 채택한다는 의미입니다. 즉, BIG-IP와 같은 시스템 및 서비스의 통합과 포함을 간소화하여 더 광범위한 역할이 해당 기술을 구성, 배포, 운영할 수 있도록 합니다.

이것이 중요한 이유는 일부 애플리케이션 서비스(예: 웹 애플리케이션 방화벽)가 NS 인그레스의 컨테이너 상류에 배포될 때 공격과 그로 인한 바람직하지 않은 결과를 해결하는 데 가장 효율적이고 효과적이기 때문입니다. 하지만 그러기 위해서는 BIG-IP와 WAF의 용어와 개념에 대한 광범위한 전문 지식이 필요한 경우가 많습니다. 이러한 장애물을 해결하는 것이 당사의 자동화 및 오케스트레이션 노력의 주요 목표이며, 이는 F5 자동화 툴체인 의 급속한 진화에서 확인할 수 있습니다.

해당 툴체인 내에는 F5 애플리케이션 서비스 3 확장 프로그램인 AS3가 있습니다. AS3는 BIG-IP에 대한 최신(node.js) 인터페이스를 제공하며, 이를 통해 선언적 구성을 사용하여 BIG-IP에서 제공하는 애플리케이션 서비스를 프로비저닝하고 운영할 수 있습니다. 최신 버전의 Container Ingress Services(CIS) 와 결합하면 컨테이너 환경 운영자는 BIG-IP가 제공하는 애플리케이션 서비스를 활용하여 API와 애플리케이션을 보호하고 속도를 높일 수 있습니다.

컨테이너 인그레스 서비스(Container Ingress Services)에 대해 잘 모르시겠다면, 컨테이너 서비스와 BIG-IP 간의 연결 고리를 제공하는 쿠버네티스 기본 서비스입니다. 변경 사항을 감지하고 이를 BIG-IP가 제공하는 애플리케이션 서비스에 전달합니다. 이를 통해 컨테이너 환경의 빠른 변화에 대응하고 보안 정책을 시행할 수 있습니다.

이 최신 개정판(Container Ingress Services 1.9)은 주석 사용에서 ConfigMaps 로 전환하여 통합을 위한 기본 Kubernetes 지원을 도입한다는 점에서 흥미롭습니다. 즉, ConfigMap의 데이터 필드에 AS3 선언을 삽입하여 익숙한 Kubernetes 언어를 사용하여 F5 애플리케이션 서비스를 통합할 수 있습니다. 여기에는 인증서 내장, 부하 분산 알고리즘 선택, API나 애플리케이션에 대한 최소한의 OWASP Top 10 보호 기능 배포 등이 포함됩니다.

최신의 Kubernetes 친화적인 선언을 통해 저장소에서 정책 선언을 검색할 수도 있습니다. 이를 통해 SecDevOps(또는 DevSecOps 또는 그냥 SecOps, 선호도에 따라 다름)는 보안이나 WAF 전문 지식을 요구하지 않고도 DevOps에 부담을 주지 않고 보안을 왼쪽으로 전환할 수 있습니다.

친절한: ConfigMap 
apiVersion: v1 
메타데이터: 
이름: f5-waf
네임스페이스: 기본값
레이블:
f5type: 가상 서버
as3: "참"

데이터:
템플릿: |
{

 # 서비스, 풀 및 로깅 선언은 여기에 있습니다

        "policyWAF": { 
"사용: "owaspautotune" 
}

 # 모니터 및 풀 멤버 선언은 여기에 있습니다

         "owaspautotune": {
"클래스": "WAF 정책", 
"url": "https://repository/pathToConfig/f5-as3-declarations/master/Common_WAF_Policy.xml",
"ignoreChanges": true
}

이러한 기본 지원을 통해 DevOps 및 DevSecOps는 해당 팀에서 운영하는 API, 애플리케이션 및 서비스를 위한 웹 애플리케이션 방화벽을 쉽고 빠르게 배포할 수 있습니다. 오늘날에는 보안 관련 서비스를 특별히 지원하는 수신 또는 로드 밸런서용 Kubernetes 언어가 없습니다. Container Ingress Services는 ConfigMaps 사용을 지원함으로써 보다 자연스럽고 익숙한 메커니즘을 사용하여 애플리케이션 보안을 Kubernetes와 통합하는 간단한 수단을 제공합니다.

자원

Github에서 최신 F5 AS3 를 받으세요

Docker Hub의 최신(v1.9) Container Ingress 서비스