OpenShift Run! F5XC Secure Mesh on OpenShift Daisuke Nakajima, Solution Architect, Distributed Cloud Services, F5

©2023 F5 2 Who am I ? 名前：中嶋 大輔 所属：F5ネットワークスジャパン タイトル：ソリューションアーキテクト 過去の発表 TungstenFabricとOpenshift https://www.slideshare.net/DaisukeNakajima/cont rail-integrated-with-kubernetes-and-openstack

©2023 F5 3 クラウドとエッジのネットワーク/アプリケーション接続を簡素化 AWS Private cloud Traditional data centers Colocation Azure Alibaba Cloud Edge Distributed Cloud Services AWS Private cloud Traditional data centers Colocation Azure Google Cloud Edge

©2022 F5 4 Centralized Operations Visibility and Analytics Artificial Intelligence/ Advanced Insights Security Distributed Cloud Console アプリケーションのライフサイクルと可視性 を管理するSaaSベースの集中型コンソール WAF Firewall DDoS Mitigation Bot Defense API security Networking Router Firewall Load Balancer DDOS API Gateway 分散型ネットワーキングとセキュリティサービス F5XC ネットワーク/セキュリティ機能 URL Filtering VPN

©2023 F5 5 マルチ Openshift クラスタの課題 cluster2 namespace cluster3 namespace cluster1 namespace 宛先Podは送信元をどのよ うに認識する？ マルチOpenshiftクラスタ間トラフィックは課題の一つです。 1. ソリューションの複雑なコンフィグ 2. トラフィックルーティングとロードバランシング 3. 可観測性とモニタリング 宛先Podは送信元をどのよ うに認識する？

©2023 F5 6 マルチ Openshift クラスタ w/ XC Mesh cluster2 namespace ves-system cluster3 namespace ves-system cluster1 namespace ves-system F5XC Mesh は、クラスタ間サービス メッシュを簡単に提供できます。 F5XC MeshはユーザーNamespaceで 動作し、マルチクラスタMesh、モニタリング、ロギング、および観測機能を提供します。 マルチクラスター 通信には、F5XC と Openshift クラスター間の到達性があれば動作できます。

©2023 F5 7 Openshift / 外部ネットワーク接続の課題 cluster1 namespace cluster2 namespace 外部ネットワークへの接続もまた課題です。 企業ネットワークでは、アプリケーションごとにネットワークを 分離するために VLAN を使用することが多いです。 Openshift 上のポッドが特定の VLAN 上のアプリケーショ ンに接続する必要がある場合、ポッド IP アドレスは Openshift ノード IP アドレスによって SNAT されます。 外部ネットワークは IP アドレスで Pod を識別できません。 ファイアウォールはどうや って送信元Podを識別？

©2023 F5 8 Openshift / 外部ネットワーク接続 w/ XC Mesh cluster1 namespace ves-system cluster2 namespace ves-system Developping F5XC メッシュは VLAN ゲートウェイを提供します。 それぞれの VLAN は、ルーティング テーブルが分離さ れたネットワーク(VRF)として管理されます。ユーザーはロード バランサーの構成によって、どのポッドがど の VLAN 上でアプリケーションと通信できるかを構成できます。

©2023 F5 9 Private Cloud Onprem ROSA - AWS ROSA - AWS ROSA - AWS F5 XC with Red Hat 複数OCP/オンプレ上の アプリのクラスタ間接続 OCP 上のアプリを 外部ネットワークに配信 アプリの移行やモビリティ クラスタの統合 クラスタ全体での一貫性 自動化されたワークフロー により TTM を加速 CE CE CE CE PoP CE AWS CE IaaS OpenShift CE CE CE 既存ネットワーク

©2023 F5 10 DEMO

©2023 F5 11 Demo Architecture OpenShift2 F5 Distributed Cloud Console OpenShift1

©2023 F5 12 Demo scenario OpenShift2 F5 Distributed Cloud Console OpenShift1 Endpoint: nginx on Openshift1 Access point: Openshift2 Domain: nginx.xcmesh.global

©2023 F5 13 Demo scenario OpenShift2 F5 Distributed Cloud Console OpenShift1 Endpoint: nginx on Openshift1 Access point: Openshift2 Domain: nginx.xcmesh.global

©2023 F5 14 Demo scenario OpenShift2 F5 Distributed Cloud Console OpenShift1 Endpoint: nginx on Openshift1,Openshift2 Access point: Internet Domain: nginx-internet.com

©2023 F5 15

©2023 F5 16 AWS Private cloud Traditional data centers Colocation Azure Alibaba Cloud Edge Distributed Cloud Services AWS Private cloud Traditional data centers Colocation Azure Google Cloud Edge 分散するアプリと 複雑化するネットワーク 抽象化したネットワーク 包括的なセキュリティ

©2023 F5 17 Next

©2023 F5 18 NEXT: VLAN Gateway OpenShift2 OpenShift1 VLAN100 VLAN200

©2023 F5 19 NEXT: VLAN Gateway OpenShift2 OpenShift1 VLAN100 VLAN200

©2023 F5 20 • レガシーからモダンアプリを簡単に接続 • 既存ネットワークとOpenShift (Kubenretes)のネットワークをうまい具合に連携 • セキュリティをダウンタイム無しにアドオン • ネットワーク/セキュリティ as a Codeで管理

©2022 F5 21