BLOG | ESCRITÓRIO DO DIRETOR DE TECNOLOGIA

F5 Sexta-feira: Serviços de entrada de contêineres obtêm K8s nativos

Miniatura de Lori MacVittie
Lori MacVittie
Publicado em 19 de abril de 2019

O mundo dos contêineres continua a amadurecer a um ritmo surpreendente. A adoção de serviços de aplicativos relacionados a contêineres, tanto no local quanto na nuvem, é um bom indicador de que essa tecnologia emergiu de uma tecnologia incipiente para um ecossistema em desenvolvimento em pouco tempo.

À medida que amadurece, também amadurece a integração da tecnologia de nível empresarial necessária para suportá-lo. Vemos a maturação e o ajuste contínuos da outra economia de API ; aquela que permite a rápida integração e expansão do ecossistema de contêineres.

Uma das coisas interessantes sobre esse amadurecimento é que ele incentiva ofertas tradicionalmente de nível empresarial a avançarem na direção de ambientes de orquestração de contêineres como o Kubernetes. Por "mover-se na direção" quero dizer adotar rapidamente ideias como modelos de API declarativos que abstraem a experiência do domínio. Em outras palavras, simplifique a integração e inclusão de sistemas e serviços como o BIG-IP para permitir um conjunto mais amplo de funções para configurar, implantar e operar a tecnologia.

Isso é importante porque alguns serviços de aplicativos — como um firewall de aplicativo da Web — são mais eficientes e eficazes no tratamento de ataques e suas consequências indesejáveis quando implantados a partir de contêineres no ingresso do NS. Mas isso geralmente requer amplo conhecimento de domínio em terminologia e conceitos de BIG-IP e WAF. Lidar com esse obstáculo é um objetivo principal dos nossos esforços de automação e orquestração, o que pode ser visto na rápida evolução da nossa cadeia de ferramentas de automação F5 .

Dentro dessa cadeia de ferramentas está o AS3, a extensão F5 Application Services 3 . O AS3 fornece uma interface moderna (node.js) para o BIG-IP que permite o consumo de configurações declarativas para provisionar e operar serviços de aplicativos fornecidos pelo BIG-IP. Quando combinados com a versão mais recente dos nossos Container Ingress Services (CIS) , os operadores de ambientes de contêiner podem empregar serviços de aplicativos fornecidos pelo BIG-IP para proteger e acelerar APIs e aplicativos.

O Container Ingress Services, caso você não esteja familiarizado, é um serviço nativo do Kubernetes que fornece a ligação entre os serviços de contêiner e o BIG-IP. Ele monitora as mudanças e as comunica aos serviços de aplicativos fornecidos pelo BIG-IP. Eles, por sua vez, acompanham as rápidas mudanças nos ambientes de contêineres e permitem a aplicação de políticas de segurança.

Esta última revisão (Container Ingress Services 1.9) é interessante porque introduz suporte nativo do Kubernetes para integração, migrando do uso de anotações para ConfigMaps . Isso significa que você pode usar a linguagem familiar do Kubernetes para integrar serviços de aplicativos F5 inserindo uma declaração AS3 no campo de dados do ConfigMap. Isso inclui a incorporação de certificados e a seleção de algoritmos de balanceamento de carga, bem como a implantação das proteções mínimas do OWASP Top 10 para uma API ou aplicativo.

A declaração moderna e amigável ao Kubernetes também permite a recuperação da declaração de política de um repositório. Isso permite que o SecDevOps (ou DevSecOps ou apenas SecOps, conforme sua preferência) transfira a segurança para a esquerda de uma forma que não sobrecarregue o DevOps exigindo experiência em segurança ou WAF.

tipo: ConfigMap 
apiVersion: v1 
metadados: 
nome: f5-waf
namespace: padrão
rótulos:
f5type: virtual-server
as3: "true"

dados:
modelo: |
{

 # declarações de serviço, pool e registro aqui

        "policyWAF": { 
"uso: "owaspautotune" 
}

 # monitores e declarações de membros do pool aqui

         "owaspautotune": {
"classe": "Política WAF", 
"url": "https://repository/pathToConfig/f5-as3-declarations/master/Common_WAF_Policy.xml",
"ignoreChanges": true
}

Esse suporte nativo permite que DevOps e DevSecOps implantem de forma fácil e rápida um firewall de aplicativo web para as APIs, aplicativos e serviços que essas equipes operam. Hoje, não existe uma linguagem Kubernetes como essa para balanceadores de entrada ou de carga, que habilite especificamente serviços relacionados à segurança. Ao oferecer suporte ao uso de ConfigMaps, o Container Ingress Services oferece um meio simplificado de integrar a segurança do aplicativo com o Kubernetes usando um mecanismo mais natural e familiar.

Recursos

Obtenha o F5 AS3 mais recente do Github

Os mais recentes (v1.9) Container Ingress Services do Docker Hub