BIG-IQ & VSHIELD MANAGER

F5 Networks Japan K.K.

F5 BIG‐IQ:次世代マネジメント・ソリューションモジュラーフレームワーク

BIG‐IQプラットフォームマルチデバイスマネジメント

SECURITY(firewall) CLOUD DEVICE Future

Modules …

F5テクノロジの集中管理を目的とした新しいマネジメント製品 ADC技術のみならず、多様なテクノロジを管理する事を目的 更に、F5製品と様々なネットワーク管理製品、クラウドオーケスト

レーションツールとのインターフェースとなる位置づけ

ソリューション概要

• BIG‐IQはREST API形式でオープンなインターフェースを公開

• マネジメント、オーケストレーション

• パブリッククラウド事業者

• Southbound interface経由でBIG‐IPの各種ADC製品群のクラウド環境向けデプロイメントを実現

• BIG‐IQ Cloud Virtual Edition（仮想版）は多様なhypervisor向けに設計

• BIG‐IQ Security (Application Firewall Manager)も必要に応じて追加可能

BIG-IQ TMOS

• ライセンス• Cloud ： Nodeオブジェクト数（1000 Nodes～）

• Security ： BIG-IP AFMデバイス数（50 Devices～）

• L2/L3設定

• テナントユーザ設定

BIG-IQ Cloud

テナント向けアカウント

アプリのテンプレート

展開済みアプリ

管理対象BIG-IP

クラウドコネクタサーバ

サービスプラットフォーム管理者画面

テナントユーザ管理者画面

アプリのテンプレートを選択し、個別パラメータを入力

• Virtual Serverのアドレス• Poolメンバの名前、アドレス

クラウドコネクタとは？

• リソースとしてのBIG-IPを定義• Local Cloud

• BIG-IQに登録したBIG-IPと接続

• BIG-IQからサービスデプロイメント

• サードパーティクラウドリソースとの連携• VMware

• vShield Manager (5.1.1以降)からサービスデプロイメント

• Amazon• AWS上のBIG-IP VE、EC2インスタンスを検出

• アクセスキーID/シークレットキーを登録し、AWS EndpointとAPI通信

• 東京リージョン ： ec2.ap-northeast-1.amazonaws.com

BIG-IQ Security

管理対象デバイスとACL適用対象コンテキスト

ファイアフォールポリシー

各種共通オブジェクト

各ACLエントリ統計情報

FWポリシーのチェックと適用

BIG-IQ インストールにあたって

• AskF5よりソフトウェアがダウンロード可能

• Xen, VMware, KVM, Hyper-V 向けVEパッケージ

• Python (2.7以降) テスト用スクリプト

• BIG-IQ APIマニュアルはDevCentralよりダウンロード可能

• https://devcentral.f5.com/downloads/BIGIQ/BIG-IQ%20Cloud%20API%20Implementations.pdf• https://devcentral.f5.com/downloads/BIGIQ/BIG-IQ%20Cloud%20API%20Reference.pdf

• BIG-IPに対しいくつかのREST関連パッケージをアップデート

• BIG-IP v11.3以降をサポート

• update_bigip.sh コマンドで管理対象BIG-IPを指定

• TMMインターフェースがリスタートするのでサービスインパクトあり

• BIG-IPとの通信で「internal」と名付けられたVLANを使用

• 詳細はインストールマニュアル参照

https://support.f5.com/kb/en-us/products/big-iq-cloud/manuals/product/bigiq-and-vmware-esxi-setup-getting-started-4-0-0/3.html

技術情報

https://support.f5.com/kb/en-us/products/big-iq-cloud/versions.4-0-0.html

Release Notesより

Screen resolution requirementTo properly display, the BIG-IQ system requires that your screen resolution is set to 1280x1024 or higher.

Browser supportBIG-IQ supports the following browsers and versions:Microsoft Internet Explorer version 9Mozilla Firefox version 18.xGoogle Chrome version 18.x

詳しくはASKF5のマニュアルをご覧ください。

尚、BIG-IQ設定にてvShield Managerとなっているため、本資料内ではvShield Managerと記載がありますが、現⾏製品名はvCNSとなります。

その他、操作・設定に関して

動作イメージ

BIG-IQ

サービスプロビジョニング

API テナントBIG-IP

Public

PrivateInternal

172.28.15.167 172.28.15.170

10.100.23.0/24

10.100.24.0/24

iApps

vShield Manager 連携

（vCloud Networking and Security）

機能開発/エコシステム形成の方向性

サウスバウンド• F5プラットフォーム統合• BIG-IPサービスの統合• BIG-IPの大規模スケール対応

イーストバウンド• パブリッククラウドへの

コネクター• ハイブリッドクラウドへの

コネクター• 管理の自動化

ノースバウンド• マネジメントツールとの統合• VMware vCloud Director• MS System Center2012 VMM• その他、サードパーティ製

ウエストバウンド• ネットワーク仮想化• SDN ゲートウェイ• SDN コントローラ連携• Open Flow

新機能のための4つの方向性

BIG-IQCLOUD | SECURITY

BIG-IP

vCNS

VXLAN

REST/iApps

VXLAN ゲートウェイ

Virtual Extensible Local Area Network• L3ネットワーク上に構築するオーバーレイ型L2ネットワーク

• L3で分離されたサブネット越しにL2セグメントを拡張

• Software Defined オーバーレイネットワーク

• VLANの限界である4096を超えるセグメントスケール

• BIG-IPはVXLAN Tunnel Endpoint (VTEP) として動作

Single host Many hosts All hosts

vSwitch Distributed Switch Distributed

SwitchDistributed

Switch

VXLAN

vCloud Director

vCloud Networking & Security

VMwarevCloud Suite vSphere Enterprise Plus

F5 BIG-IQCloud

API

NorthboundAPI

iControl REST API

vCloud Ecosystem Framework REST API API

F5 BIG-IPAPISouthbound

API iControl REST API

Local Traffic Manager

Access Policy Manager

Web Application Firewall

Application Delivery FirewallGlobal Traffic Manager

iApps Application Security Mgr

WAN Optimization Mgr

Overview of the APIs Used

VxLAN

VMwarevShieldManager

BIGIQ

クライアント

INTERNET

同一IPセグメント

.76BIG-IP: Active BIG-IP: Standby

クラウド-1

自社DC

VMware vShield Manager連携イメージ

1. Cloud Tenantユーザ作成2. BIG-IPをDeviceとして登録3. vShield ManagerをBIG-IQのConnectorとして登録4. Tenantを作成5. Catalogを作成し、vShield Managerへ送信6. vCNS上で設定を確認7. vCNSから設定を追加8. BIG-IQ, BIG-IPで設定の確認9. vCNSから設定を削除

注意事項• BIG-IQでは、Internalという名前のVLANが重要で、この名前のVLANを使ってコネクタとなる

デバイスとの通信をおこないます。必ずInternalで通信ができるようルーティングなど注意して頂く必要があります。複数VLANが不要であれば、InternalというVLANだけの作成を推奨します。

• BIG-IPは11.3.0以降対応です。

設定⼿順の概要

BIG-IQのRESTに関するログは、Bashでログインをおこない、以下のファイルを参照することで可能

/var/log/restjavad.0.log

ESXi

ネットワーク構成

vCNS

BIG-IP(Act)VLAN: external10.198.1.76

BIG-IP(Stby)VLAN: external10.198.1.77

BIG-IQ

10.1.2.70

Router

VLAN: Internal10.198.1.78

VLAN: External10.1.2.78

BIG-IQからの初期のvShield Manager登録設定

vCNS(vShield Manager)からBIG-IPへ設定投⼊

①

②

10.198.2.145 10.198.2.146

VXLAN VXLAN

VXLANはSDN連携でなく、予め設定する必要があります。

1. Cloud Tenantユーザ作成

初期アカウントadmin/adminでログイン

TMOSを選択し、以下メニューより作成System >> Users >> CreateTenant ユーザを作成

このユーザアカウントでBIG-IQにログインすることで、このアカウントで作成した設定の参照などが可能となる。またBIG-IPへ設定することも可能

作成後、右上のLog outボタンより⼀旦ログアウト

2. BIG-IPをDeviceとして登録AdminユーザでBIG-IQへログインし、BIG-IQ Cloudへ移動

DeviceよりBIG-IPを登録

BIG-IPのデータポートのIPアドレスを指定。ユーザ名とパスワードはWEB GUIアクセスのadminアカウント

3. vShield ManagerをBIG-IQのConnectorとして登録

Cloud ProviderをVMware vShield Managerを選択

作成したBIG-IPをDevicesで選択

作成したBIG-IQ TenantのUserNameとPasswordを⼊⼒

vShield Managerのアドレス、ログインのユーザ名、パスワードを⼊⼒

Saveして作成

3. vShield ManagerをBIG-IQのConnectorとして登録

登録が正常に完了すると、vCNS上でBIG-IQが登録される

4. Tenantを作成作成するvSheild Manager⽤のテナントを作成

作成したユーザ、Connectorを選択

任意でAddress, Phone, Emailを設定

Saveして作成

5. Catalogを作成Catalogを作成し、指定したCloud Connectorへ設定を送付

このカタログサンプルは次ページに参照設定をするにあたり、必要項⽬などもあるため、初回は次ページのサンプル通りに設定をすることを推奨

※ Application typeに何も表⽰されない場合、BIG-IPから設定情報を採取できないためと考えられます。以下のコマンドをBIG-IQへBashでログインし実⾏。BIG-IQへはSSHでログイン可能 (初期アカウント：root/default)

cd /usr/lib/dco/packages/upd-adc./update_bigip.sh –a admin –p password <BIG-IP MGMT IP Address>

※ BIG-IPのIPアドレスはSelf IP設定側を指定

作成したcloud Connectorを指定

作成するアプリケーションをiAppより指定

5. Catalogを作成 (設定サンプル)

設定保存後に指定したConnector（vShield Manager)へカタログが送信される

6. vCNS上で設定を確認

BIG-IQで作成したCatalogが追加される

Service Profilesから、設定の追加を実施

7. vCNSから設定を追加

7. vCNSから設定を追加

設定を追加

⼊⼒例右記のように設定を⼊⼒Server Poolが複数の場合、カンマ区切りで⼊⼒

正常に設定⼊⼒が終了

ステップ5で作成したTenant名

8. BIG-IQ, BIG-IPで設定の確認

BIG-IP/BIG-IQへログインをおこない、iAppsメニューより設定が追加されていることを確認。また、Virtual Serverができていることを以下のように確認

BIG-IQ側の設定表⽰

BIG-IP側の設定表⽰

vCNSから追加した設定を選択し、削除を実施する

9. vCNSから設定を削除