GKE On-Premにおける F5の役割...従来型のWAF 先進的なF5Advanced WAF 9| ©2018 F5...
Transcript of GKE On-Premにおける F5の役割...従来型のWAF 先進的なF5Advanced WAF 9| ©2018 F5...
| ©2018 F5 NETWORKS1
GKE On-PremにおけるF5の役割F5ネットワークスジャパン合同会社セールスエンジニアリング本部プリセールスコンサルタント角田 勝義
| ©2018 F5 NETWORKS2
名前: 角田 勝義(すみだ かつよし)
所属:セールスエンジニアリング本部
ネットワーク、インフラ系のプリセールスエンジニア
好きなコマンド、ツール: tcpdump, Wireshark
好きな食べ物: ラーメン(二郎や家系などのこってり系)
自己紹介
| ©2018 F5 NETWORKS3
Google Anthos の稼働条件GKE On-PremとF5 BIG-IPの統合
VMware(Hypervisor)
F5 BIG-IP(L4 LB)
https://cloud.google.com/anthos/docs/faq/
What’s required to run Anthos?
Anthos has multiple components. Among these, running GKE On-Prem requires vCenter 6.5 in order to create VMs for the GKE On-Prem cluster. Additionally, GKE On-Prem integrates with (but does not require) F5 BIG-IP load balancers in order to provide layer 4 load balancing.
| ©2018 F5 NETWORKS4
GKE On-Prem の構成k8s
nodek8s
node
k8snode
k8snode
k8snode
k8snode
k8snode
k8snode
k8snode
k8snode
k8snode
k8snode
k8snode
k8snode
k8snode
k8snode
k8snode
k8snode
k8snode
k8snode
k8snode
k8snode
k8snode
k8snode
F5 ContainerIngress Service
BIG-IP
VMWare
k8s/istio
コンテナはサービスロジックの実行に注力し、その他(SSL、セキュリティ、etc)はBIG-IPにオフロードコンテナ環境でのコスト(開発コストや運用コスト)を最小限に抑える
| ©2018 F5 NETWORKS5
F5 BIG-IPの役割FREEDOM TO DELIVER EVERY APP, ANYWHERE
Application Delivery Controller Firewall /Web Application Firewall
Access Management
ただのL4 ロードバランサーとして使ったのではもったいない
F5 BIG-IPの機能
※2019年9月時点では、 GKE On-Prem 上ではL4機能のみ対応
| ©2018 F5 NETWORKS6
Application Delivery ControllerLOCAL TRAFFIC MANAGER (LTM)
ダッシュボードによるアプリケーションの可視化
• パスベースルーティング• SSL オフロード (HSTS対応)• HTTPヘッダーの追加・削除• コンテンツの書き換えなど
| ©2018 F5 NETWORKS7
Firewall
• IPベース (L3), Portベース (L4) に加えてGeolocation情報、FQDNに基づいたフィルタリング
• 時刻指定によるフィルタリング設定変更(日中帯のみアクセスを許可し夜間は禁止など)
• 適切にルール設定されているか確認できるパケットトレーサー機能
• L4コネクション消費型DDoS 攻撃の緩和機能
• 閾値ベース、上昇率ベースの検知
• PPSレートリミット(全体・送信元アドレス)
• ブラックリスト
ADVANCED FIREWALL MANAGER (AFM)
ファイアウォール機能 DDoS Protection機能
| ©2018 F5 NETWORKS8
Web Application FirewallADVANCED WEB APPLICATION FIREWALL (AWAF)
SSL/TLS Inspection
Scripting
OWASP Top 10Proactive Bots Defense
Credential Protection
API Protection
Microservice
API
SSL/TLS Inspection
Scripting
OWASP Top 10
従来型のWAF 先進的なF5 Advanced WAF
| ©2018 F5 NETWORKS9
Access ManagementACCESS POLICY MANAGER (APM)
Network Access
Identity Federation & SSOSAML 2.0
Secure Web Gateway
Web AccessManagement
Mobile Apps
Web-basedApps Enterprise
Network
Cloud, SaaS,VDI &
Partner Apps
Web Sites andApplications
Virtual Edition Chassis Appliance
EnterpriseMobility Gateway
VDINative VDI
| ©2018 F5 NETWORKS10
GKE ON-PREMにおけるF5の役割
F5 Container Ingress Service: Kubernetes環境におけるF5のソリューション
長年培われてきたADCやセキュリティ機能をGKE On-Premの環境に適用可能
まとめ
アプリケーションをユーザーへ迅速かつ安全に提供すること
| ©2018 F5 NETWORKS11