Blog technique
, EVP, CTO
Blog technique
Kubernetes : maîtriser les enjeux du réseau et de la sécurité avec Contrail
Dec 10, 2019

Les applications de nouvelle génération se composent de microservices distribués sur de multiples workloads s’exécutant sur différents domaines d’erreur. Avec son écosystème riche et en croissance constante, Kubernetes est devenu LA solution d’orchestration d’applications cloud-native. Pourtant, des problèmes persistent. Selon des enquêtes utilisateur, la sécurité, le réseau et l’analytique figurent en tête des difficultés rencontrées.

 

Chez Juniper Networks, nous nous sommes fixés pour mission de mener le combat de front pour venir à bout de ces problèmes. À la conférence KubeCon d'aujourd’hui, nous lançons notre toute nouvelle solution cloud-native conçue pour la simplicité et la sécurité d'environnements à grande échelle.

 

Dans nos derniers articles, nous nous sommes penchés sur les microservices ainsi que sur les motivations, les avantages, les opportunités et les problématiques que soulève leur orchestration avec Kubernetes. Je vous invite maintenant à découvrir les avantages des solutions cloud-native de Juniper pour vos utilisateurs d’applications en microservices.

 

Juniper Contrail Enterprise Multicloud

 

Bien que Kubernetes simplifie à l'extrême l’orchestration à grande échelle de workloads de calcul et de stockage, il reste tributaire d'une solution réseau robuste et d'API CNI pour la connectivité des containers. Malheureusement, force est de reconnaître que des stacks réseaux à la fois fiables et conçues pour Kubernetes ne sont pas légion.

 

Avec Contrail Enterprise Multicloud, une solution SDN éprouvée sur des déploiements de très grande envergure, l'équation semble aujourd'hui résolue. Elle permet aux entreprises de gérer leur réseau comme un seul domaine, même si les terminaux sont répartis sur de multiples espaces noms et sur les infrastructures de plusieurs fournisseurs aux quatre coins du globe. Avec Contrail, les entreprises peuvent virtualiser leur réseau pour plusieurs tenants et le protéger contre les menaces.

 

Contrail offre déjà le meilleur système de défense en profondeur (DiD, Defense in Depth) pour les applications basées sur des microservices. Cette sécurité renforcée est le fruit de la fonctionnalité intégrée de chaînage de services pour les containers. Elle permet aux entreprises de déployer des fonctions de sécurité, telles que l’inspection approfondie des paquets (DPI) ou les pare-feu d'applications web (WAF), entre les différentes couches applicatives. Mais Contrail offre bien plus encore.

 

Des microservices plus sécurisés

 

Avec cette nouvelle solution, Contrail prend désormais en charge le chiffrement entre les nœuds Kubernetes. Il s’agit là d’une fonctionnalité essentielle pour les entreprises qui exécutent des instances dans des environnements non sécurisés, des clouds publics ou tout environnement soumis à des normes de sécurité strictes.

 

Cette nouveauté vient s'ajouter au récent support des passerelles matérielles pour un transfert plus efficace du trafic vers les applications qui s’exécutent dans le cluster Kubernetes. On évite ainsi le double transfert du trafic, une situation qui se produit avec des CNI par défaut. Les utilisateurs finaux bénéficient quant à eux d'applications plus réactives. Enfin, les coûts d’infrastructure peuvent diminuer dans la mesure où l’application nécessite moins de ressources réseau et de calcul pour monter en charge.

 

Grâce aux overlays réseau de Contrail, les équipes DevOps peuvent gérer des applications distribuées complexes, même lorsque les adresses IP des instances de services se chevauchent. Avec Contrail, les entreprises peuvent appliquer des politiques réseau et de sécurité cohérentes et granulaires sur l’ensemble du réseau. Les administrateurs d’infrastructures peuvent s'appuyer sur ces politiques pour créer un environnement multi-tenant au sein d’un même cluster, avec isolation complète entre tenants. Dans le même temps, Contrail va au-delà de la simple application des politiques avec la possibilité d’intégrer un pare-feu de containers, notamment le NGFW Juniper cSRX, directement sur le chemin de données pour renforcer la protection contre les mouvements latéraux.

 

Grâce aux fonctionnalités de visualisation du réseau et de la sécurité de Contrail, les équipes DevOps peuvent facilement observer les flux de trafic et l’application des règles de sécurité. Cela peut faire toute la différence pour la résolution de problèmes d'applications ou pour démontrer la conformité d’une application lors des audits de sécurité.

 

Contrail est à ce jour la solution réseau Kubernetes (K8 CNI) la plus efficace et la plus sécurisée du marché. Cet héritage incomparable offre aux entreprises une alternative sûre à l’utilisation de nouveaux produits peu éprouvés. Plus important encore, les entreprises peuvent établir une communication interprocessus entre des instances de services, que ces dernières s’exécutent sur des VM ou des serveurs physiques.

 

Équilibrage de charge sur les routeurs

 

Outre sa capacité à étendre la sécurité réseau sur toute l’infrastructure d’une entreprise, Contrail peut équilibrer les charges de trafic sur des routeurs de type Juniper MX Series. Il conjugue ainsi sécurité et équilibrage des charges sur des équipements matériels. Pour ce faire, Contrail implémente l’équilibrage de charge natif de Kubernetes à l’aide de fonctionnalités réseau standard sur le vRouter et le contrôleur.

 

L'avantage, c'est que les requêtes extérieures au cluster Kubernetes sont directement envoyées vers le nœud ou le pod Kubernetes de destination, ce qui augmente l’efficacité et les performances des applications. À long terme, au fur et à mesure que l’application monte en charge, on économise sur les ressources réseau et de calcul.

 

Sécurité. Évolutivité. Visibilité.

 

Venez nous rencontrer sur le stand KubeCon (P22) et découvrir les solutions avancées de Juniper pour le réseau, la sécurité, le stockage et l'analytique dans tous les types d'environnements : datacenter, cloud-native, physiques ou VM.

 

Vous pouvez également vous rendre sur le site juniper.net/cloud-native pour en savoir plus et essayer le duo Contrail / Kubernetes à la demande dans un labo virtuel individuel.

0 Compliments