ブログ
, EVP, CTO
ブログ
Kubernetes の大規模なネットワークとセキュリティの課題を Contrail で解決
Dec 11, 2019

今日のアプリケーションは、分散型で、マイクロサービスをベースとしています。マイクロサービスは、複数の障害ドメインで動作する複数のワークロードで構成されます。Kubernetes は、クラウドネイティブ アプリケーションの事実上のオーケストレータになっており、成長し続ける多彩なエコシステムがあります。ただし、課題もあります。その中でもセキュリティ、ネットワーク、分析が主な課題としてユーザー アンケートで挙げられています。

 

業界が現在直面している最も難しい問題を解決に導くために、ジュニパーネットワークスはこうした課題に正面から取り組むユーザーを支援しています。今回の KubeCon では、クラウドネイティブの運用の簡素化とセキュリティを大規模に実現するために新たに進化したソリューションを発表します。

 

最近のブログ記事で、Kubernetes の導入動機、メリット、機会課題としてマイクロサービスを取り上げました。今回は、ジュニパーのクラウドネイティブ ソリューションについて見てみましょう。マイクロサービス アプリケーションのユーザーにとってどのようなメリットがあるかをご説明します。

 

Contrail Enterprise Multicloud とは

 

これまでコンピューティング ワークロードとストレージ ワークロードの大規模なオーケストレーションを容易なものとしてきた Kubernetes は、その素晴らしい機能を発揮するうえで、CNI API を経由して公開されている堅牢なネットワーク ソリューションに依存しています。残念ながら、これほど信頼性が高く、Kubernetes 用に構築されたネットワーク スタックは入手するのが困難でした。

 

この困難なネットワーク問題を解決するのが、ハイパースケールでの運用に定評のある Software-Defined ネットワーク ソリューションの Contrail Enterprise Multicloud です。このソリューションより、組織のネットワークを 1 つのドメインとして運用できます。たとえエンドポイントが世界中の複数のネームスペースやインフラストラクチャ プロバイダに分散している場合でもです。Contrail を使用すると、組織のネットワークを複数のテナントに仮想化でき、脅威に対するネットワークのセキュリティが強化されます。

 

Contrail では、すでにマイクロサービス アプリケーションに最高の多層防御が提供されています。このセキュリティ機能は、Contrail に組み込まれたコンテナ サービス チェイニング機能によるものです。アプリケーション階層間でのセキュリティ機能(ディープ パケット インスペクション(DPI)や Web アプリケーション ファイアウォール(WAF)など)のプロビジョニングを可能にします。さらに、これ以上の機能が Contrail で提供されるようになりました。

 

マイクロサービスのセキュリティを強化

 

今回のリリースから、Contrail Kubernetes ノード間の暗号化がサポートされます。信頼性の低い環境やパブリック クラウド環境、厳格なセキュリティ コンプライアンス ルールへの遵守を求められる環境などでインスタンスを運用する場合、この機能は極めて重要です。

 

最近、ベアメタル ゲートウェイのサポートも追加され、Kubernetes クラスタ内で実行されているアプリケーションへのトラフィックを転送する効率の向上が可能になりました。これにより、デフォルトの CNI で発生する二重転送を防止できます。また、エンド ユーザーのアプリケーションのレスポンスをもっと高めることさえ可能です。さらには、インフラストラクチャ コストを削減できます。アプリケーションの拡張に伴って必要になるコンピューティング リソースとネットワーク リソースが減るからです。

 

Contrail のネットワーク オーバーレイは、複雑な分散型アプリケーションを DevOps チームの管理に役に立ちます。それらのアプリケーション内にあるサービス インスタンスの IP が重複していても問題ありません。Contrail により、きめ細かい一貫したセキュリティ ポリシーとネットワーク ポリシーをネットワーク全体に適用できます。インフラストラクチャ管理者は、これらのポリシー制御を使用して、マルチテナントを単一クラスタ内に作成しながら、各テナントを完全に分離することもできます。さらに Contrail では、単純なポリシー適用だけでなく、コンテナ化された次世代ファイアウォール(Juniper cSRX など)をデータ パスに直接挿入することも可能です。水平方向の脅威に対する防御が強化されます。

 

その上、Contrail でネットワークとセキュリティを可視化すると、DevOps チームはトラフィック フローとポリシー適用を簡単に確認できます。アプリケーションをトラブルシューティングするときや、アプリケーションのセキュリティ ポリシー準拠を監査担当者または SOC に証明する場合、これは大変大きなメリットです。

 

Contrail は、今や最も性能が高く、最も安全な Kubernetes ネットワーク ソリューション(K8 CNI)です。その長年の実績により、未知数の新製品を採用するより安心です。さらに重要なことに、サービス インスタンスをつなぐ安全なプロセス間通信を構築できます。一部のインスタンスの運用が VM でもベアメタル サーバーでも構いません。

 

メタルを追加

 

Contrail では、安全なネットワークを組織の IT インフラストラクチャ全体に拡張できるだけではありません。負荷分散されたルートをルーター(ジュニパーネットワークス MX シリーズなど)にフィードでき、ハードウェアの効率的な負荷分散とセキュリティが可能になります。それを実現するうえで Contrail Kubernetes ネイティブのロード バランシングを実装し、vRouter とコントローラで標準ベースのネットワークを使用します。

 

この実際の結果として、Kubernetes クラスタ外部からの要求が宛先の Kubernetes ノードまたは Pod に直接配信され、アプリケーションの性能と効率が向上します。長期的には、アプリケーションの拡張に伴うコンピューティング リソースとネットワーク リソースの増加を抑えることができるでしょう。

 

セキュリティ強化。優れた拡張性。インサイトを提供

 

ぜひ KubeCon の弊社ブース(P22)にお立ち寄りください。高度なネットワークや、ワークロードのセキュリティ、ストレージ、分析に関する、ジュニパーのソリューションをご紹介します。データ センターでもクラウドネイティブでも、ベアメタルでも VM ベースでも、対応するソリューションをご用意しています。

 

クラウドネイティブの詳細については、juniper.net/cloud-native もご覧ください。また、こちらの個人用オンデマンド仮想ラボでは Contrail Kubernetes を一緒にお試しいただけます。

0 件の賞賛