Openshift NGINX Kubernetes Webinar

1. OpenShiftとNGINXによる
Kubernetesアプリケーション構築の
ベストプラクティス
F5ネットワークスジャパン合同会社

2. | ©2021 F5
2
Agenda
•NGINXのご紹介
•Red Hat & NGINX Partnership
•Open ShiftとNGINXの活用
•デモ

3. | ©2021 F5
3
NGINX

4. | ©2021 F5
4
NGINXの歴史
NGINX
(オープンソース)
2011 :
Nginx, Inc. 設立
2013 :
Nginx Plusリリース
2017 : Announced;
- NGINX Controller
- NGINX Unit 等
2019
2014 : NGINXが世界中上位10,000
サイト中最も利用されているWebServerとなる
2004 : NGINX
最初のリリース
2002 : イゴール・シソエフ (CTO of NGINX, Inc.)
NGINXの開発を開始
2008 : Chrome
/ Android
最初のリリー
ス
2007 : iPhone
最初のリリース
2014 :
世界のスマートフォン
10億台超え
2017 :
世界のスマートフォン
15億台超え
イゴール・シソエフ
Apache httpdでは、1つのサーバー
での同時アクセス数の上限に問題
（C10K問題）を感じていた。
Apache httpdより同時アクセス数の
多いサーバーソフトもあったが、機能
が限定されていた。「そこで、C10K
問題に対応しつつ、静的ファイルだけ
でなくほかのサーバーとの連携機能を
持ったWebサーバーとしてNGINXを
開発することを決めた」
買収
2020 : シェアTOP(約36%)、
4.5億サイトでWebトラフィックを処理

5. | ©2021 F5
5
WebServer
Reverse Proxy
and Cache
WebServer
Reverse Proxy
and Cache

6. | ©2021 F5
6
0000000000
Advanced
Load
Balancing
Advanced
Content
Cache
WebServer
Reverse Proxy
and Cache
Advanced
Monitoring &
Management
Advanced
Security
Controls

7. | ©2021 F5
7
NGINX Plus – クラウドに依存せずポータブル
ベアメタル マルチクラウド コンテナ
Linux/BSD
CPUs
VMware vSphere
Advanced
Load
Balancing
Advanced
Content
Cache
Web Server
Reverse Proxy
and Cache
Advanced
Monitoring &
Management
Advanced
Security
Controls

8. | ©2021 F5
8
NGINX 製品
DELIVERING MODERN APPLICATIONS AT SCALE ACROSS SEAMLESSLY ACROSS MULTI-CLOUD
NGINX Plus
All-In-One Software
ロードバランサー、 Webサーバ
コンテンツキャッシュ
安定、高速、高機能
必要となるリソースは最小
NGINX Controller
NGINX＋統合管理ソフトウェア
NGINX+のロードバランサやAPI
Gateway、更にマルチクラウド環
境においても容易に管理が可能。
GUI/CLIに加えAPIでの制御が可能
NGINX App Protect
アプリケーションに特化した
Web Application Firewall
NGINX+にシームレスに統合可能
な新しいWAF。 F5の実績に基づき、
高速な高品質なWAFを実現
High quality Support

9. | ©2021 F5
9
NGINX コンテナ環境向け製品
DELIVERING MODERN APPLICATIONS AT SCALE ACROSS SEAMLESSLY ACROSS MULTI-CLOUD
NGINX Service Mesh
NGINX Plusで複雑なマイクロ
サービス、アプリケーション間の
通信問題を解決するシンプルな
サービスメッシュソリューション。
Amazon EKS, Azure AKS対応
NGINX Ingress
Controller
Kubernetes環境への
外部アクセスをコントロール。
NGINX機能をIngressリソース
を通じて管理可能。
NGINX App Protect対応
High quality Support

10. | ©2021 F5
10
Red Hat & NGINX
Partnership

11. | ©2021 F5
11
F5 & Red Hat Partnership
F5 / NGINX ｘRedHatによる強力なパートナーシップ

12. | ©2021 F5
12
F5 & Red Hat Partnership
マルチクラウド環境全体に追いて、安全に安心してアプリケーションを提供するプラットフォームを
CERTIFIED SOLUTIONを通じて高度な自動化とともに提供することが我々のミッションです
F5 Advanced WAF や NGINX App Protectによる高度な制御に
より優れたAPI Security を実現します
優れた
API Security
F5 BIG-IPやNGINXと共にインフラ全体とアプリケーションサー
ビスをRed hat Ansibleで自動化できます
自動化
F5 CISやNGINX KICを用いたトラフィック制御によりRed Hat
Open Shift環境での優れたアプリケーションサービスを実現します
コンテナ環境の
アプリケーション

13. | ©2021 F5
13
Open ShiftとNGINXの活用

14. | ©2021 F5
14
アプリケーションを提供するためには様々なサービスの
活用が必要
Code Ingress
Controller
App / web
server
DNS DDoS CDN
Load
balancer
API
gateway
App
Security
Customer
DEVOPS /
APPLICATIONS
NETOPS /
OPERATIONS

15. | ©2021 F5
15
アプリケーションを提供するためには様々なサービスの
活用が必要
DEVOPS /
APPLICATIONS
NETOPS /
OPERATIONS
Edge
Ingress
Controller
pod
pod
pod
pod
pod
Per-Pod proxy
Per-Service
proxy
Code Customer

16. | ©2021 F5
16
コンテナプラットフォームに最適なNGINX Technology
Source: Datadog Container Report2020
The Top Technologies
Running on Docker
Top Ingress Providers
CNCF Survey
Source: CNCF Survey 2020

17. | ©2021 F5
17
OpenShift環境における
Ingress Trafficの処理

18. | ©2021 F5
18
『Ingress Traffic』に対して求められる対応
“OpenShift内で動作するサービスを外部の
ユーザに対して公開したい”
“セキュリティや、我々DevOpsチームが
管理・提供できる接続の管理を提供する信
頼性の高い手法が必要である”
“複数のDevOpsチームが存在するため、
マルチテナント環境が求められる”
https://medium.com/avmconsulting-blog/service-types-in-kubernetes-24a1587677d6

19. | ©2021 F5
19
RedHat OpenShift Router / NGINX Ingress Controller
RedHat OpenShift Router (OSR) NGINX Ingress Controller
実行環境 OpenShift環境をサポート Openshift、Kubernetes環境をサポート
設定方法
OpenShiftRoutes、
Basic Kubernetes IngressResources
Kubernetes IngressResources、
NGINX Ingress Resources
機能の充実度 基本的な機能群 詳細な設定が可能な機能群
マルチテナント対応 サービス毎の利用
サービス毎の利用に加え、VirtualServer/ Virtual
ServerRoute (CRD)による柔軟な設定
Technology
Load Balancer HAProxy 2.0 NGINX / NGINX Plus
設定内容 基本的な機能のサポート 柔軟な設定パラメータ
OpenShift
Router
Ingress
Controller

20. | ©2021 F5
20
RedHat OpenShift Router and NGINX Ingress
Controller
RedHat OpenShift Router (OSR) NGINX Ingress Controller
Features
対応トラフィック HTTP,TLS, H2, GRPC,SNI passthrough 左記に加え、TCP/ UDPに対応
リクエストに対する操作 Load Balancing 左記に加え、URL Rewriteや、Redirect,Direct
Responseに対応
ルーティング 基本的なルーティング処理に対応 左記に加え、Request Parameterを用いた柔軟な
処理が可能
トラフィック処理 Rate limiting, SessionPersistence,Canary, B|G 左記に加え、Queuing, 詳細はHealth Checksパラ
メータ*, Slow Start*
セキュリティ機能 IP ACL 左記に加え、JWT*and OAuth authentication*, Web
ApplicationFirewall*
Multi-tenant Support Basic – listens for routes in multiple namespaces 左記に加え、Ingress/ Virtual Server / Virtual
Server Route(CRD)による柔軟な設定
Observability Prometheus Metrics 左記に加え、OpenTracing traces
* NGINX Plus only

21. | ©2021 F5
21
Ingress Controller /
NGINX Ingress Operator

22. | ©2021 F5
22
RedHat OpenShift NGINX Ingress Operator
SIMPLIFIED KIC LIFECYCLE MANAGEMENT
• フルサポートで優れた機能を持つOpenShift 4.x向
けKubernetes Ingress Controller(KIC)を提供
• 管理者によりOperatorを用いてインストールした
後、一つのマニフェストファイルでKIC Clusterを
デプロイ可能
• KICの設定や管理に関するライフサイクルの複雑さ
を抽象化できる
• OpenShift Operator Hub UI からクリックでイン
ストール可能
• ロードマップ: Vanilla Kubernetes support, KIC
の集計された統計情報の提供, NGINXステートフル
機能の管理 (e.g. k/v store, HA zone sync)
Basic manifestを用いて最小限の項目で設定可能。ただし、様々なオプション変数
の利用が可能 (https://github.com/nginxinc/nginx-ingress-operator)
Point and click install

23. | ©2021 F5
23
RedHat OpenShift NGINX Ingress Operator

24. | ©2021 F5
24
RedHat OpenShift NGINX Ingress Operator

25. | ©2021 F5
25
Ingress Controller とは？
Kubernetes Cluster
pod
pod
pod
pod
Service A
pod
pod
pod
pod
Service B
pod
pod
pod
pod
Service C
Ingress
Controllers
Kubernetes環境に特化したL7LB機能:
• Kubernetesプラットフォーム外部から
のトラフィックを受け取り、
Kubernetes内のPod（Containers)に
対して負荷分散を行う
• Kubernetes APIを用いてIngress
Resourceというオブジェクトを用いて
設定する
• Kubernetes環境のPodをモニターし、
自動的に負荷分散設定を更新する。
例：Podの増減に対する対応
Kubernetes API
Ingress Resources
Service information

26. | ©2021 F5
26
NGINX Ingress Controller - Architecture
apiVersion: extensions/v1beta1
kind: Ingress
metadata:
name: hello-ingress
spec:
tls:
- hosts:
- hello.example.com
secretName: hello-secret
rules:
- host: hello.example.com
http:
paths:
- path: /
backend:
serviceName: hello-svc
servicePort: 80
Ingress Controller daemon
Kubernetes/OpenShift API
NGINX
conf
Rewrite
nginx.conf
NGINX Plus API
NGINX or NGINX Plus
External IP
Kubernetes Ingress Resources
Service information
hello-svc
NGINX Ingress Resources
pod
pod
pod
pod

27. | ©2021 F5
27
NGINX Ingress Resources
VirtualServer / VirtualServerRoute
Host
TLS
Upstreams
Routes
- Path
Action
Split
Match
Route
ErrorPage
pass
redirect
return
proxy
delegation
optional
Host
TLS
Upstreams
Routes
- Path
Action
Split
Match
Route
ErrorPage
pass
redirect
return
proxy
delegation
optional
Host
TLS
Policies
Upstreams
Routes
- Path
Policies
Action
Split
Match
Route
ErrorPage
pass
redirect
return
proxy
delegation
VirtualServer
Host
Upstreams
Subroutes
- Path
Action
Split
Match
ErrorPage
pass
redirect
return
proxy
Host
Upstreams
Subroutes
- Path
Action
Split
Match
ErrorPage
pass
redirect
return
proxy
Host
Upstreams
Subroutes
- Path
Policies
Action
Split
Match
ErrorPage
pass
redirect
return
proxy
VirtualServerRoute
Policies
Access Control
Rate Limiting
Authentication (JWT)
Ingress mTLS
Egress mTLS
Access Control
Rate Limiting
Authentication (JWT)
Ingress mTLS
Egress mTLS
Access Control
Rate Limiting
Authentication (JWT)
Ingress mTLS
Egress mTLS
NGINX server configuration
NGINX http configuration
Server and HTTP snippets
NGINX location configuration
Location snippets

28. | ©2021 F5
28
OpenShift 環境で実現する
アプリケーションセキュリティ

29. | ©2021 F5
29
OpenShiftで効率的なアプリケーションセキュリティ
Kubernetes Cluster
pod
pod
pod
pod
Service A
pod
pod
pod
pod
Service B
pod
pod
pod
pod
Service C
• NGINX Ingress Controller
高速・大容量通信時にも安定動作
帯域・コネクションリミットによる不要な通信の拒否
• JWT validation (OAuth, OIDC)
アプリケーションに接続するユーザが正しいユーザで
あるかJWTを評価し、判定します
• WAF
App Protect を用いて高度なWeb Application
Securityを実現することが可能です
アプリケーションに手を加えることなくセキュリティを追加:
NGINX
App Protect
Ingress
Controllers

30. | ©2021 F5
30
OpenShiftで効率的なアプリケーションセキュリティ
JWT validation (OAuth, OIDC)
annotations:
nginx.com/jwt-key: "cafe-jwk"
nginx.com/jwt-realm: "Cafe App"
nginx.com/jwt-token: "$cookie_auth_token"
nginx.com/jwt-login-url:"https://login.example.com"
https://github.com/nginxinc/kubernetes-ingress/tree/v1.10.0/examples/jwt
Ingress
Policy
jwt:
secret: jwk-secret
realm: "My API"
token: $http_token
https://docs.nginx.com/nginx-ingress-controller/configuration/policy-resource/#jwt
https://docs.nginx.com/nginx-ingress-controller/configuration/ingress-resources/advanced-configuration-with-annotations/

31. | ©2021 F5
31
OpenShiftで効率的なアプリケーションセキュリティ
WAF
annotations:
kubernetes.io/ingress.class: "nginx"
appprotect.f5.com/app-protect-policy: "default/dataguard-alarm"
appprotect.f5.com/app-protect-enable: "True"
appprotect.f5.com/app-protect-security-log-enable: "True"
appprotect.f5.com/app-protect-security-log: "default/logconf"
appprotect.f5.com/app-protect-security-log-destination: "syslog:server=127.0.0.1:514"
Policy
apiVersion: appprotect.f5.com/v1beta1
kind: APPolicy
metadata:
name: dataguard-blocking
spec:
policy:
name: dataguard_blocking
template:
name: POLICY_TEMPLATE_NGINX_BASE
applicationLanguage: utf-8
enforcementMode: blocking
blocking-settings:
violations:
- name: VIOL_DATA_GUARD
alarm: true
block: true
https://docs.nginx.com/nginx-ingress-controller/app-protect/configuration/
https://github.com/nginxinc/kubernetes-ingress/tree/v1.10.0/examples/appprotect
Ingress https://docs.nginx.com/nginx-ingress-controller/configuration/ingress-resources/advanced-configuration-with-annotations/
WAF Policyの設定例
その他 Security Logや
Signatureの設定が可能

32. | ©2021 F5
32
OpenShift 環境における
効果的なセキュリティ機能の実装

33. | ©2021 F5
33
２種類のWAF利用者について考える
NetOps/SecOps:
• 運用を主としたチーム
• 安定したアプリケーション
• 最重要な課題：ガバナンス、安定性、予測可
能性
DevSecOps/DevOps:
• それぞれの要件に応じて分散化されたチーム
• 複数のアプリケーション、数多くの開発中の
プロダクト
• 最重要な課題：最短での市場投入、即座に進
化（革新的な機能のリリース）ができること
Edge
Customer
DEVOPS /
APPLICATIONS
NETOPS /
OPERATIONS
Ingress
Controller
pod
pod
pod
pod
pod
Per-Pod proxy
Per-Service
proxy
Service Mesh network

34. | ©2021 F5
34
担当/提供箇所の整理
At Edge Ingress Controller Per-Service Proxy Per-Pod Proxy Within Mesh
担当者 SecOps SecOps/DevSecOps DevSecOps DevOps DevOps
スコープ サービス全体 サービス毎・URI毎 サービス毎 Endpoint毎 コンテナレベルの詳
細な制御
コスト・効率性 中～高
(統合によるメリット)
高
(統合によるメリット)
良 普通 構成・運用など統合
的な考慮が必要
設定管理方法 nginx.conf K8s API nginx.conf nginx.conf Mesh機能での管理
需要 高 高 中 普通 ー
Edge
Ingress
Controller
pod
pod
pod
pod
pod
Per-Pod proxy
Per-Service
proxy
Service Mesh network
将来的に対応

35. | ©2021 F5
35
エッジ環境でのWAFの実装
DEPLOY WAF POLICIES OUTSIDE KUBERNETES, ON LOCAL BIG-IP OR CLOUD-BASED WAF
NetOps/SecOpsを中心としたアプローチ
K8S外など、エッジLBをとしての主要なユー
スケースです
NetOps/SecOpsは App/DevOpsチームへF5
Application Serviceを自動化などで利用でき
る状態で提供します
F5 AWAFが利用される場合もあります
NetOps/SecOpsが管理するWAFとしての提供する際に適した構成
Edge
Ingress
Controller
pod
pod
pod
pod
pod
Per-Pod proxy
Per-Service
proxy
Service Mesh network

36. | ©2021 F5
36
Ingress ControllerでのWAFの実装
DEPLOY WAF POLICIES ON THE INGRESS CONTROLLER, CONFIGURED USING KUBERNETES API
SecOpsやDevSecOps向けのKubernetes-nativeとして提供する際に適した構成
Edge
Ingress
Controller
pod
pod
pod
pod
pod
Per-Pod proxy
Per-Service
proxy
Service Mesh network
K8s SecOps/DevSecOpsを中心としたアプ
ローチ
NetOpsやDevOpsチーム配下でWAFポリシー
を管理する場合に適したソリューション
ポリシーはKubernetes APIを用いて運用される
NGINX Ingress Controller RBACで以下のよう
な機能が可能：
• 管理者（Admin)はリスナーごとにポリシー
を強制することが可能
• DevOpsユーザはIngress Resourceごとにポ
リシーを選択することが可能

37. | ©2021 F5
37
特定サービス向けK8S環境でのWAFの実装
DEPLOY WAF POLICIES FOR A SPECIFIC SERVICE USING A PROXY TIER IN FRONT OF THE
SERVICE
DevSecOpsを中心としたアプローチ
特定の小さな複数のサービスで、
DevSecOpsチームにてポリシーを管理する
場合に適したソリューション
WAFをFront-End Proxyとして実装し、サー
ビスを保護する
• セキュアに実装することが用意
• Per Service Proxyの箇所でWAFの更新や
構成管理が必要となる
サービス毎のリソース制御が用意になり、IC
設定の複雑性を減らすことができる
特定デバイス向けのDevSecOps管理のWAFとして提供する際に適した構成
Edge
Ingress
Controller
pod
pod
pod
pod
pod
Per-Pod proxy
Per-Service
proxy
Service Mesh network

38. | ©2021 F5
38
特定PodへのK8S環境でのWAFの実装
DEPLOY WAF POLICIES FOR A SPECIFIC POD/INSTANCE, EMBEDDING NGINX PLUS WITHIN THE
POD
AppOwnerを中心としたアプローチ
App OwnerがWAFをアプリケーションに合
わせて管理する場合に適したソリューション
ApplicationごとにProxyを配置し、WAF機能
を利用
• CI/CDを用いて実装、テスト、デプロイ
を実施
• WAFを更新する場合アプリケーション
Podの構築が必要
アプリケーション・サービスとともに密接な
WAFを管理が必要となる場合に求められる
AppOwnerがWAF Policyを管理する場合に適した構成
Good use case: 古いアプリケーションをコンテナ化
し、脆弱性が内包されている場合
Edge
Ingress
Controller
pod
pod
pod
pod
pod
Per-Pod proxy
Per-Service
proxy
Service Mesh network

39. | ©2021 F5
39
まとめ

40. | ©2021 F5
40
まとめ
OpenShift（や、Kubernetes）は限定的ではあるがシンプルな利用に特化したデフォルトのIngress Solutionが存在する
NGINXの機能とOpenShiftの便利な管理機能を組み合わせることにより、
高速なアプリケーションデリバリと強固なセキュリティを実現することが可能です
NGINX Plus Ingress Controller のようにThird-party Ingress Controllersはより優れた機能を提供:
• スケーラビリティ・パフォーマンス： マルチテナント、パフォーマンス最適化を各チームやアプリケー
ションに対し提供することが可能です
• 機能： routing, rate limiting, authentication, rewriteなど。Canary, Blue-Green, Circuit Breakersの実
装が可能
• セキュリティ：
ユーザを適切に認証して安全なアクセス：JWT
外部から悪意ある通信に対する防御・アプリケーションの脆弱性に対する瞬時の防御：WAF

41. | ©2021 F5
41
お問い合わせフォーム
• 製品に関するお問い合わせ
• 購入に関するお問い合わせ
• 構成・設計に関するご相談
など
https://www.nginx.co.jp/contact-sales/
お気軽にお問い合わせください

42. | ©2021 F5
42
https://www.nginx.co.jp/free-trial-request/
https://www.nginx.co.jp/free-trial-request-nginx-controller/
NGINX Plus, NGINX App Protect
無料トライアル
NGINX Plusは、オールインワン型のソフトウェアロードバランサ、コンテンツ
キャッシュ、Webサーバ、APIゲートウェイ、マイクロサービスプロキシです。
NGINX App Protectは、業界トップクラスのF5の高度なWAFテクノロジーを
NGINX Plusに搭載し最新のアプリケーションセキュリティを提供します。
この2つの技術の融合により、最新の分散型環境におけるWeb/モバイルアプリケー
ションの拡張性と保護が実現します。
NGINX Controllerの評価版
NGINX Controllerは、NGINXデータプレーンを管理するNGINXのコントロール
プレーンソリューションです。マルチクラウド環境でロードバランサ―、APIゲート
ウェイ、およびサービスメッシュのスケーラブルな実装を容易に集中管理することが
できます。
お申し込みのお客様向けに、NGINX Controllerの無償評価版をご用意しています。
NGINX Plus無料トライアル
NGINX Controller 無料トライアル
無料トライアル