BIG-IQ & VSHIELD MANAGER - F5ネットワークス · F5テクノロジの集中管理 ......
Transcript of BIG-IQ & VSHIELD MANAGER - F5ネットワークス · F5テクノロジの集中管理 ......
BIG-IQ & VSHIELD MANAGER
F5 Networks Japan K.K.
F5 BIG‐IQ:次世代マネジメント・ソリューションモジュラーフレームワーク
BIG‐IQプラットフォームマルチデバイスマネジメント
SECURITY(firewall) CLOUD DEVICE Future
Modules …
F5テクノロジの集中管理を目的とした新しいマネジメント製品 ADC技術のみならず、多様なテクノロジを管理する事を目的 更に、F5製品と様々なネットワーク管理製品、クラウドオーケスト
レーションツールとのインターフェースとなる位置づけ
ソリューション概要
• BIG‐IQはREST API形式でオープンなインターフェースを公開
• マネジメント、オーケストレーション
• パブリッククラウド事業者
• Southbound interface経由でBIG‐IPの各種ADC製品群のクラウド環境向けデプロイメントを実現
• BIG‐IQ Cloud Virtual Edition(仮想版)は多様なhypervisor向けに設計
• BIG‐IQ Security (Application Firewall Manager)も必要に応じて追加可能
BIG-IQ TMOS
• ライセンス• Cloud : Nodeオブジェクト数(1000 Nodes~)
• Security : BIG-IP AFMデバイス数(50 Devices~)
• L2/L3設定
• テナントユーザ設定
BIG-IQ Cloud
テナント向けアカウント
アプリのテンプレート
展開済みアプリ
管理対象BIG-IP
クラウドコネクタサーバ
サービスプラットフォーム管理者画面
テナントユーザ管理者画面
アプリのテンプレートを選択し、個別パラメータを入力
• Virtual Serverのアドレス• Poolメンバの名前、アドレス
クラウドコネクタとは?
• リソースとしてのBIG-IPを定義• Local Cloud
• BIG-IQに登録したBIG-IPと接続
• BIG-IQからサービスデプロイメント
• サードパーティクラウドリソースとの連携• VMware
• vShield Manager (5.1.1以降)からサービスデプロイメント
• Amazon• AWS上のBIG-IP VE、EC2インスタンスを検出
• アクセスキーID/シークレットキーを登録し、AWS EndpointとAPI通信
• 東京リージョン : ec2.ap-northeast-1.amazonaws.com
BIG-IQ Security
管理対象デバイスとACL適用対象コンテキスト
ファイアフォールポリシー
各種共通オブジェクト
各ACLエントリ統計情報
FWポリシーのチェックと適用
BIG-IQ インストールにあたって
• AskF5よりソフトウェアがダウンロード可能
• Xen, VMware, KVM, Hyper-V 向けVEパッケージ
• Python (2.7以降) テスト用スクリプト
• BIG-IQ APIマニュアルはDevCentralよりダウンロード可能
• https://devcentral.f5.com/downloads/BIGIQ/BIG-IQ%20Cloud%20API%20Implementations.pdf• https://devcentral.f5.com/downloads/BIGIQ/BIG-IQ%20Cloud%20API%20Reference.pdf
• BIG-IPに対しいくつかのREST関連パッケージをアップデート
• BIG-IP v11.3以降をサポート
• update_bigip.sh コマンドで管理対象BIG-IPを指定
• TMMインターフェースがリスタートするのでサービスインパクトあり
• BIG-IPとの通信で「internal」と名付けられたVLANを使用
• 詳細はインストールマニュアル参照
https://support.f5.com/kb/en-us/products/big-iq-cloud/manuals/product/bigiq-and-vmware-esxi-setup-getting-started-4-0-0/3.html
技術情報
https://support.f5.com/kb/en-us/products/big-iq-cloud/versions.4-0-0.html
Release Notesより
Screen resolution requirementTo properly display, the BIG-IQ system requires that your screen resolution is set to 1280x1024 or higher.
Browser supportBIG-IQ supports the following browsers and versions:Microsoft Internet Explorer version 9Mozilla Firefox version 18.xGoogle Chrome version 18.x
詳しくはASKF5のマニュアルをご覧ください。
尚、BIG-IQ設定にてvShield Managerとなっているため、本資料内ではvShield Managerと記載がありますが、現⾏製品名はvCNSとなります。
その他、操作・設定に関して
動作イメージ
BIG-IQ
サービスプロビジョニング
API テナントBIG-IP
Public
PrivateInternal
172.28.15.167 172.28.15.170
10.100.23.0/24
10.100.24.0/24
iApps
vShield Manager 連携
(vCloud Networking and Security)
機能開発/エコシステム形成の方向性
サウスバウンド• F5プラットフォーム統合• BIG-IPサービスの統合• BIG-IPの大規模スケール対応
イーストバウンド• パブリッククラウドへの
コネクター• ハイブリッドクラウドへの
コネクター• 管理の自動化
ノースバウンド• マネジメントツールとの統合• VMware vCloud Director• MS System Center2012 VMM• その他、サードパーティ製
ウエストバウンド• ネットワーク仮想化• SDN ゲートウェイ• SDN コントローラ連携• Open Flow
新機能のための4つの方向性
BIG-IQCLOUD | SECURITY
BIG-IP
vCNS
VXLAN
REST/iApps
VXLAN ゲートウェイ
Virtual Extensible Local Area Network• L3ネットワーク上に構築するオーバーレイ型L2ネットワーク
• L3で分離されたサブネット越しにL2セグメントを拡張
• Software Defined オーバーレイネットワーク
• VLANの限界である4096を超えるセグメントスケール
• BIG-IPはVXLAN Tunnel Endpoint (VTEP) として動作
Single host Many hosts All hosts
vSwitch Distributed Switch Distributed
SwitchDistributed
Switch
VXLAN
vCloud Director
vCloud Networking & Security
VMwarevCloud Suite vSphere Enterprise Plus
F5 BIG-IQCloud
API
NorthboundAPI
iControl REST API
vCloud Ecosystem Framework REST API API
F5 BIG-IPAPISouthbound
API iControl REST API
Local Traffic Manager
Access Policy Manager
Web Application Firewall
Application Delivery FirewallGlobal Traffic Manager
iApps Application Security Mgr
WAN Optimization Mgr
Overview of the APIs Used
VxLAN
VMwarevShieldManager
BIGIQ
クライアント
INTERNET
同一IPセグメント
.76BIG-IP: Active BIG-IP: Standby
クラウド-1
自社DC
VMware vShield Manager連携イメージ
1. Cloud Tenantユーザ作成2. BIG-IPをDeviceとして登録3. vShield ManagerをBIG-IQのConnectorとして登録4. Tenantを作成5. Catalogを作成し、vShield Managerへ送信6. vCNS上で設定を確認7. vCNSから設定を追加8. BIG-IQ, BIG-IPで設定の確認9. vCNSから設定を削除
注意事項• BIG-IQでは、Internalという名前のVLANが重要で、この名前のVLANを使ってコネクタとなる
デバイスとの通信をおこないます。必ずInternalで通信ができるようルーティングなど注意して頂く必要があります。複数VLANが不要であれば、InternalというVLANだけの作成を推奨します。
• BIG-IPは11.3.0以降対応です。
設定⼿順の概要
BIG-IQのRESTに関するログは、Bashでログインをおこない、以下のファイルを参照することで可能
/var/log/restjavad.0.log
ESXi
ネットワーク構成
vCNS
BIG-IP(Act)VLAN: external10.198.1.76
BIG-IP(Stby)VLAN: external10.198.1.77
BIG-IQ
10.1.2.70
Router
VLAN: Internal10.198.1.78
VLAN: External10.1.2.78
BIG-IQからの初期のvShield Manager登録設定
vCNS(vShield Manager)からBIG-IPへ設定投⼊
①
②
10.198.2.145 10.198.2.146
VXLAN VXLAN
VXLANはSDN連携でなく、予め設定する必要があります。
1. Cloud Tenantユーザ作成
初期アカウントadmin/adminでログイン
TMOSを選択し、以下メニューより作成System >> Users >> CreateTenant ユーザを作成
このユーザアカウントでBIG-IQにログインすることで、このアカウントで作成した設定の参照などが可能となる。またBIG-IPへ設定することも可能
作成後、右上のLog outボタンより⼀旦ログアウト
2. BIG-IPをDeviceとして登録AdminユーザでBIG-IQへログインし、BIG-IQ Cloudへ移動
DeviceよりBIG-IPを登録
BIG-IPのデータポートのIPアドレスを指定。ユーザ名とパスワードはWEB GUIアクセスのadminアカウント
3. vShield ManagerをBIG-IQのConnectorとして登録
Cloud ProviderをVMware vShield Managerを選択
作成したBIG-IPをDevicesで選択
作成したBIG-IQ TenantのUserNameとPasswordを⼊⼒
vShield Managerのアドレス、ログインのユーザ名、パスワードを⼊⼒
Saveして作成
3. vShield ManagerをBIG-IQのConnectorとして登録
登録が正常に完了すると、vCNS上でBIG-IQが登録される
4. Tenantを作成作成するvSheild Manager⽤のテナントを作成
作成したユーザ、Connectorを選択
任意でAddress, Phone, Emailを設定
Saveして作成
5. Catalogを作成Catalogを作成し、指定したCloud Connectorへ設定を送付
このカタログサンプルは次ページに参照設定をするにあたり、必要項⽬などもあるため、初回は次ページのサンプル通りに設定をすることを推奨
※ Application typeに何も表⽰されない場合、BIG-IPから設定情報を採取できないためと考えられます。以下のコマンドをBIG-IQへBashでログインし実⾏。BIG-IQへはSSHでログイン可能 (初期アカウント:root/default)
cd /usr/lib/dco/packages/upd-adc./update_bigip.sh –a admin –p password <BIG-IP MGMT IP Address>
※ BIG-IPのIPアドレスはSelf IP設定側を指定
作成したcloud Connectorを指定
作成するアプリケーションをiAppより指定
5. Catalogを作成 (設定サンプル)
設定保存後に指定したConnector(vShield Manager)へカタログが送信される
6. vCNS上で設定を確認
BIG-IQで作成したCatalogが追加される
Service Profilesから、設定の追加を実施
7. vCNSから設定を追加
7. vCNSから設定を追加
設定を追加
⼊⼒例右記のように設定を⼊⼒Server Poolが複数の場合、カンマ区切りで⼊⼒
正常に設定⼊⼒が終了
ステップ5で作成したTenant名
8. BIG-IQ, BIG-IPで設定の確認
BIG-IP/BIG-IQへログインをおこない、iAppsメニューより設定が追加されていることを確認。また、Virtual Serverができていることを以下のように確認
BIG-IQ側の設定表⽰
BIG-IP側の設定表⽰
vCNSから追加した設定を選択し、削除を実施する
9. vCNSから設定を削除