Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Amazon EKS上でのVNF開発奮闘記

Avatar for Kenta Shinohara Kenta Shinohara
January 31, 2020
Technology
1
1.3k

Amazon EKS上でのVNF開発奮闘記

NTT Tech Conference #4 LT発表スライドです。
https://ntt-developers.github.io/ntt-tech-conference/04/

LT概要:
ネットワーク仮想化(NFV;Network Function Vertualization)の世界にも、コンテナ技術の波が押し寄せてきています。

我々のチームでは、AWSのkubernetesマネージドサービスであるEKS上で、NW装置の認証・認可機能であるRadiusの開発に取り組んでいます。

AWS上での閉域網の構築や、RadiusのUDPトラフィックを扱うロードバランサ等の開発内容について紹介し、EKSを利用する上で苦労した事例についてお話します。
Avatar for Kenta Shinohara

Kenta Shinohara

January 31, 2020
Tweet

More Decks by Kenta Shinohara

See All by Kenta Shinohara
NFVにおけるクラウドネイティブ技術適用の挑戦
Avatar for Kenta Shinohara sinohara
1
1.4k
kindで作るローカルk8s開発環境
Avatar for Kenta Shinohara sinohara
0
44
Container Communication on lattice
Avatar for Kenta Shinohara sinohara
0
720

Other Decks in Technology

See All in Technology
encoding/json v2を予習しよう!
Avatar for yuyu_hf yuyu_hf
PRO
1
200
技術選定を突き詰める 懇親会LT
Avatar for Kaoru okaru
2
1.1k
Cursorをチョッパヤインタビューライターにチューニングする方法 / how to tuning cursor for interview write
Avatar for ShuzoN shuzon
2
250
SaaS公式MCPサーバーをリリースして得た学び
Avatar for ryo kawamataryo
5
1.4k
クラウドネイティブ環境の脅威モデリング
Avatar for Kyohei Mizumoto kyohmizu
2
430
とあるEdTechベンチャーのシステム構成こだわりN選 / edtech-system
Avatar for k.goto gotok365
5
360
Ninno LT
Avatar for Yasunobu Kawaguchi kawaguti
PRO
1
120
TanStack Start 技術選定の裏側 / Findy-Lunch-LT-TanStack-Start
Avatar for Takahiro Ikeuchi iktakahiro
1
160
Ruby on Rails の楽しみ方
Avatar for morihirok morihirok
6
2.9k
転職したらMCPサーバーだった件
Avatar for nwiizo nwiizo
11
8.6k
製造業向けIoTソリューション提案資料.pdf
Avatar for h.uriu haruki_uiru
0
280
"発信文化"をどうやって計測する?技術広報のKPI探索記/How do we measure communication culture?
Avatar for 株式会社ビットキー / Bitkey Inc. bitkey
4
320

Featured

See All Featured
Visualizing Your Data: Incorporating Mongo into Loggly Infrastructure
Avatar for mongodb mongodb
45
9.5k
Distributed Sagas: A Protocol for Coordinating Microservices
Avatar for Caitie McCaffrey caitiem20
331
21k
GraphQLの誤解/rethinking-graphql
Avatar for sonatard sonatard
71
11k
Reflections from 52 weeks, 52 projects
Avatar for Jefferson Lam jeffersonlam
349
20k
Code Reviewing Like a Champion
Avatar for maltzj maltzj
523
40k
I Don’t Have Time: Getting Over the Fear to Launch Your Podcast
Avatar for Joe Casabona jcasabona
32
2.3k
jQuery: Nuts, Bolts and Bling
Avatar for Doug Neiner dougneiner
63
7.7k
Designing for Performance
Avatar for Lara Hogan lara
608
69k
Writing Fast Ruby
Avatar for Erik Berlin sferik
628
61k
How to Ace a Technical Interview
Avatar for Jacob Kaplan-Moss jacobian
276
23k
Fontdeck: Realign not Redesign
Avatar for Paul Robert Lloyd paulrobertlloyd
84
5.5k
GitHub's CSS Performance
Avatar for Jon Rohan jonrohan
1031
460k

Transcript

  1. Copyright©2020 NTT Corp. All Rights Reserved. NTT Tech Conf#4 @2020/1/31

    1

  2. • • • • • • • • • •

    Copyright©2020 NTT Corp. All Rights Reserved. 2 NTT Tech Conf#4 @2020/1/31

  3. • • • Copyright©2020 NTT Corp. All Rights Reserved. 3

    NTT Tech Conf#4 @2020/1/31

  4. • • • • Copyright©2020 NTT Corp. All Rights Reserved.

    4 NTT Tech Conf#4 @2020/1/31

  5. Copyright©2020 NTT Corp. All Rights Reserved. 5 NTT Tech Conf#4

    @2020/1/31

  6. 1. 2. 3. Copyright©2020 NTT Corp. All Rights Reserved. 6

    NTT Tech Conf#4 @2020/1/31

  7. • • • Copyright©2020 NTT Corp. All Rights Reserved. 7

    NTT Tech Conf#4 @2020/1/31

  8. VPC (Virtual Private Cloud) public-plane private-plane I-Gateway bastion NAT-Gateway EC2

    EC2 EC2 EC2 RDS EKS Worker EKS Worker EKS Worker Endpoint Endpoint Copyright©2020 NTT Corp. All Rights Reserved. 8 NTT Tech Conf#4 @2020/1/31

  9. VPC (Virtual Private Cloud) private-plane NAT-Gateway EC2 EC2 EC2 EC2

    RDS EKS Worker EKS Worker EKS Worker Endpoint Endpoint public-plane I-Gateway bastion • インターネットリーチャビリティ:双方向 Copyright©2020 NTT Corp. All Rights Reserved. 9 NTT Tech Conf#4 @2020/1/31

  10. VPC (Virtual Private Cloud) public-plane I-Gateway bastion • インターネットリーチャビリティ:外方向のみ •

    外抜け通信の細かな制御はNetworkACL + security group NAT-Gateway EC2 EC2 EC2 EC2 RDS EKS Worker EKS Worker EKS Worker Endpoint Endpoint Copyright©2020 NTT Corp. All Rights Reserved. 10 NTT Tech Conf#4 @2020/1/31 private-plane

  11. VPC (Virtual Private Cloud) public-plane I-Gateway bastion NAT-Gateway private-plane RDS

    EKS Worker EKS Worker EKS Worker Endpoint Endpoint EC2 EC2 EC2 EC2 • 静的なIPアドレスを実施するサブネット (VNFはIPアドレス狙い撃ちなものが多いので) Copyright©2020 NTT Corp. All Rights Reserved. 11 NTT Tech Conf#4 @2020/1/31

  12. VPC (Virtual Private Cloud) public-plane I-Gateway bastion NAT-Gateway private-plane EC2

    EC2 EC2 EC2 • IPアドレスを動的に払い出すサブネット (マネージドサービス等) EKSのデフォルトCNI:amazon-vpc-cniはPodに対し このサブネットからIPアドレスを直接払い出す RDS EKS Worker EKS Worker EKS Worker Endpoint Endpoint Copyright©2020 NTT Corp. All Rights Reserved. 12 NTT Tech Conf#4 @2020/1/31

  13. VPC (Virtual Private Cloud) public-plane I-Gateway bastion NAT-Gateway private-plane EC2

    EC2 EC2 EC2 RDS Endpoint Endpoint • Worker(コンテナが稼働するEC2インスタンス)⇔Master(EKS)間で常時通信 • EKS API serverはVPC外にあるため、VPC外への通信が発生してしまう EKS Worker EKS Worker EKS Worker EKS master (API server) VPC外への通信が発生 ECR (container registry) Copyright©2020 NTT Corp. All Rights Reserved. 13 NTT Tech Conf#4 @2020/1/31

  14. VPC (Virtual Private Cloud) public-plane I-Gateway bastion NAT-Gateway private-plane EC2

    EC2 EC2 EC2 RDS Endpoint Endpoint EKSの閉域利用はver 1.13から対応 • kubectl<->EKS API serverのprivate化 (2019/3) • EKS Worker⇔master間通信のprivate化(2019/6) • EKS Worker ⇔ ECR間通信のprivate化(2019/6) • CloudFormationでの完全private EKSクラスタ生成は公式ドキュメ ント・手順は存在しないが,実施方法有り EKS Worker EKS Worker EKS Worker EKS master (API server) 閉域通信(PrivateLink接続) ECR (container registry) Copyright©2020 NTT Corp. All Rights Reserved. 14 NTT Tech Conf#4 @2020/1/31

  15. Radius client Radius server Radius server Radius server LB 10.0.0.5

    10.0.0.6 10.0.2.123 10.0.2.141 10.0.2.138 10.0.2.139 10.0.2.142 Copyright©2020 NTT Corp. All Rights Reserved. 15 NTT Tech Conf#4 @2020/1/31

  16. Radius client LB Radius request/response from radius client Radius request/response

    from radius server NAPT 10.0.0.5 10.0.0.6 10.0.2.123 10.0.2.141 Radius server Radius server Radius server 10.0.2.138 10.0.2.139 10.0.2.142 Copyright©2020 NTT Corp. All Rights Reserved. 16 NTT Tech Conf#4 @2020/1/31

  17. Radius client LB Error: unknown server Radius request/response from radius

    client Radius request/response from radius server 10.0.0.5 10.0.0.6 10.0.2.123 10.0.2.141 NAPT Radius server Radius server Radius server 10.0.2.138 10.0.2.139 10.0.2.142 Copyright©2020 NTT Corp. All Rights Reserved. 17 NTT Tech Conf#4 @2020/1/31

  18. Radius client LB Radius request/response from radius client Radius request/response

    from radius server 10.0.0.5 10.0.0.6 10.0.2.123 10.0.2.141 NAPT Radius server Radius server Radius server 10.0.2.138 10.0.2.139 10.0.2.142 PodからEKS外への通信経路をLBを経由する様に 変更 & マネージドLBではこれが出来ないので、 NGINXを使い構築 (※type:LoadBalancerが使えないので、 振分先の動的設定等の機能実装が必要) Copyright©2020 NTT Corp. All Rights Reserved. 18 NTT Tech Conf#4 @2020/1/31

  19. • • • • • • • • • •

    • Copyright©2020 NTT Corp. All Rights Reserved. 19 NTT Tech Conf#4 @2020/1/31

  20. • • アンチパターン • インターネットから孤立したNWでコンテナ基盤を使わないといけない • IPアドレスは使い捨て・・ではなく、静的なIP設計&IPルーティングが必要 NTT Tech Conf#4

    @2020/1/31 Copyright©2020 NTT Corp. All Rights Reserved. 20