Terraformを使って、Volterra vK8sを構築してみよう！

| ©2021 F5 NETWORKS 2 • [名前] 辻哲也 (つじ
てつや) • [所属・肩書] F5ネットワークスジャパン合同会社ソリューションエンジニア • [担当業務] パートナー様向けの提案⽀援、新製品情報のご提供 etc. • [経歴] 国内通信⼤⼿企業から、外資系ネットワーク/セキュリティベンダーを経て、2019年にF5⼊社 • [得意分野] ネットワーク、セキュリティ、サーバ/ストレージ周辺技術 • [SNS (LinkedIn)] www.linkedin.com/in/tetsuyatsuji ⾃⼰紹介

| ©2021 F5 NETWORKS 3 BIG-IP BIG-IQ Silverline F5 Cloud
Services F5ソリューション: ブランド概要⽇本で最⼤の導⼊実績を誇る ADC製品ブランド BIG-IPの集中管理、外部管理ツールとの連携 F5が運⽤する基盤により提供するフルマネージド型クラウドサービスシンプル化されたUIで専⾨知識なく容易に迅速な導⼊が可能なセルフサービス型クラウドサービス安定・⾼速・低リソースと幅広い機能で利⽤可能なAll In Oneソフトウェア豊富な稼働実績による⾼度なAI基盤を活⽤し、クレデンシャルスタッフィング攻撃や BOTトラフィックに対応する製品クラウドやHW環境に依存しないオープンでセキュアな新しいEdge2.0環境の基盤技術

| ©2021 F5 NETWORKS 6 Consulを使ったService Discovery AS3 JSON定義例 Virtual
Server名 Virtual Address Pool名 Pool Memberの指定 Node (Pool Member)のディスカバリ⽅法として、Consulを指定 ConsulのURIを指定 BIG-IPのPartition

| ©2021 F5 NETWORKS 7 BIG-IP Application consul-terraform-sync Module •
BIG-IP向けのConsul Terraform Sync (CTS)モジュール • モジュールの詳細は以下URLを参照 https://registry.terraform.io/modules/f5de vcentral/app-consul-sync-nia/bigip/latest • こちらでデモが⾒られます (HashiCorp さんのWebinarより) https://www.hashicorp.com/resources/co nsul-terraform-sync-japan app-consul-sync-nia

| ©2021 F5 NETWORKS 9 Volterraサービスプラットフォーム概要 Public Cloud Private Cloud
Volterra Console VoltMesh - Distributed Network & Security Services Nomadic Edge Physical Edge VoltStack - Platform Services for Distributed Infra and Apps SaaS Providers • K8Sベースのアーキテクチャを拡張し、さまざまなネットワーク、セキュリティ、アプリケーション基盤サービスを提供 • CEサイトを起動すると、⾃動で近場のREとセキュアなトンネルを張り、Consoleから⼀括コントロール • K8sモダンアプリケーションを各RE、任意のCEに⾃動配信して⼀元管理 VoltStack VoltMesh VoltConsole Volterra Node • VoltMesh • VoltStack • 仮想アプライアンス or HW • 設置、登録するとVPN⾃動形成 • K8sのコンテナアプリケーション⾃動配信⾃動で直近のVolterra Regional Edgeと VPNが張られる RE RE VoltConsole • SaaSでコントロールパネルのUIを提供 • 設定、管理、NWとアプリケーションの Visibilityを提供 Volterra Global NW • Worldwideで20カ所以上のPoPをもつ閉域網 • テナント毎のVPN、DDoSやアプリケーション配信基盤サービスを提供

| ©2021 F5 NETWORKS 10 VoltMesh ADC API GW FW
Routing Routing Firewall Loadbalancer e API Gateway WAF Proxy VoltMesh Distributed Network and Security Services • 複雑のアプライアンスで提供されるセキュリティ機能を、単⼀ソフトウェアとして提供 • VoltMeshの基本設定 (VoltConsole) 1. VoltMeshのインストール 2. サービスの登録 3. サービスの拠点への公開 Multi-Cloud 連携セキュアネットワーキング (IPsec/SSL VPN) APIゲートウェイロードバランサーサービスメッシュアプリケーションセキュリティ

| ©2021 F5 NETWORKS 11 VoltStack • 複雑のアプリケーション配信基盤をシンプルに提供 • VoltStackの基本設定
(VoltConsole) 1. VoltStackのインストール (VoltMeshと同時に動作。別途インストールの必要なし) 2. アプリケーションの登録/配信 3. アプリケーションサービスの公開 4. クラウド連携 VoltStack Platform Service for Distributed infra and Apps Service Control Fleet Cluster Management Compute Platform Platform Cluster Mgmt Svc Discovery Dist App Identity Secrets Mgmt ゼロタッチプロビジョニングノードクラスタリングスケールアウト ID管理システム鍵管理システムシークレット情報管理アプリケーション配信フリートマネジメント

| ©2021 F5 NETWORKS 12 VoltConsole: WebUIイメージ VoltMeshの設置情報セキュリティ・インシデントサービス情報
(ネットワーク遅延情報, アプリケーションアクセス数 etc.)

| ©2021 F5 NETWORKS 15 Volterra vK8s Overview Site-3 vsite-b3:
color(blue) vsite-g2:color(green) Site-2 vsite-r2: color(red) vsite-g1:color(green) Site-4 vsite-b4: color(blue) Site-1 vsite-r1: color(red) vsite-b1: color(blue) NameSpace: ns-red vk8s-red - vsite-r1 - vsite-r2 - vsite-r3 POD POD POD vK8s NS: customer-ns-red Tenant: Customer NameSpace: ns-blue vk8s-blue - vsite-b1 - vsite-b2 - vsite-b3 - vsite-b4 vK8s NS: customer-ns-blue NameSpace: ns-green vk8s-green - vsite-g1 - vsite-g2 - vsite-g3 vK8s NS: customer-ns-green POD POD POD POD POD vsite-r3: color(red) POD POD VM POD VM POD vsite-b2: color(blue) vsite-g3:color(green) APP: Red1 APP: Red2 (VM) APP: blue1 APP: blue2 (VM) APP: green

| ©2021 F5 NETWORKS 16 • Volterra Site • Volterraのノードがデプロイされる、物理もしくはクラウド上のロケーション
• Siteの種類 − パブリック・クラウド: AWS, Azure, GCP, Kubernetes (EKS/AKS/GKE) − プライベート・クラウド: VMware, KVM/Libvirt, Kubernetes (Minikube) − 物理: Bare Metal, Volterra IGW − Volterra Regional Edge (RE): Volterraグローバル・ネットワーク上で提供 • Virtual Site • 1つ以上のSiteをグループ化して、設定オブジェクトとして⼀元化 • “ラベル”によってSiteをグループ化 • Virtual Kubernetes (vK8s) • Kubernetes”互換”のAPIを提供: 全てのKubernetes APIリソースをサポートしているわけではない • Namespace毎にvK8sを構成 • 1つ以上のVirtual Siteから構成 Volterra 基本オブジェクト: Site/vK8s

| ©2021 F5 NETWORKS 17 • Health Check • HTTPおよびTCP
Health Check • (HTTP Healthcheck): Path, Timeout値, Interval値, Threahold値等を設定 • Origin Pool • 複数のEndpointをリソース・プールとしてグループ化 − Endpointの種類: Public/Private IP, DNS名, Kubernetes Service名, Consul Service名 etc. − Kubernetes Service名: <servicename.k8snamespace>形式で指定 • Endpointに対するヘルス・チェックやTLS設定を定義 • LoadBalancer設定で利⽤ • HTTP LoadBalancer • HTTP/HTTPS LoadBalancer • Origin Poolを指定 • DNS名を指定 − Volterraに委任されたDNSドメイン Volterra 基本オブジェクト: App Networking

| ©2021 F5 NETWORKS 20 • VoltConsoleで”General”タブを選択して、”Credentials“を選択 • ”Create
credentials”をクリック • 各項⽬を⼊⼒後、”Download”ボタンを押して.p12ファイルをダウンロード API Certificateの作成 (VoltConsole) クレデンシャル名 “API Certificate”を選択クレデンシャルの有効期限を指定パスワードを⼊⼒

| ©2021 F5 NETWORKS 21 デモ構成: オブジェクト間の関連付け Virtual Kubernetes (vK8s):
t-tsuji-vk8s Virtual Site: t-tsuji-vsite Site: t-tsuji-udf (既存) Site: t-tsuji-vmware (既存) Site: t-tsuji-demo (新規) Label: ves.io/siteName = t-tsuji Origin Pool: juice-shop HTTP LoadBalancer: juice-shop-lb Service Name: svc-juice-shop.t-tsuji Domains: juice-shop.t-tsuji.apac-ent.f5demos.com Deployment: juice-shop Service: svc-juice-shop Namespace: t-tsuji Healthcheck: juice-shop-healthcheck 1. 1. 1. 2. 3. 3. 3. 1.

| ©2021 F5 NETWORKS 22 デモシナリオ 1. vK8sのデプロイ (terraform) •
Siteへのラベル付与 (volterra_modify_site)/Virtual Siteの作成 (volterra_virtual_site)/Virtual Kubernetes (volterra_virtual_k8s)の作成 2. Kubernetes Deployment/Serviceの設定 (kubectl) • DeploymentおよびServiceの作成 3. サービスの公開 (terraform) • Healthcheckの作成 (volterra_healthcheck)/Origin Poolの作成 (volterra_origin_pool)/HTTP LoadBalancer (volterra_http_loadbalancer)の作成

Terraformを使って、Volterra vK8sを構築してみよう！

Terraformを使って、Volterra vK8sを構築してみよう！

Tetsuya Tsuji

More Decks by Tetsuya Tsuji

Other Decks in Technology

Featured

Transcript

| ©2021 F5 NETWORKS 1

| ©2021 F5 NETWORKS 2 • [名前] 辻哲也 (つじ

| ©2021 F5 NETWORKS 3 BIG-IP BIG-IQ Silverline F5 Cloud

| ©2021 F5 NETWORKS 4 https://registry.terraform.io/providers/F5Networks/bigip/latest/docs Terraform BIG-IP Provider

| ©2021 F5 NETWORKS 5 “bigip_as3” resource BIG-IPの設定をJSON形式で宣⾔的に定義

| ©2021 F5 NETWORKS 6 Consulを使ったService Discovery AS3 JSON定義例 Virtual

| ©2021 F5 NETWORKS 7 BIG-IP Application consul-terraform-sync Module •

| ©2021 F5 NETWORKS 8 ・Volterra 概要

| ©2021 F5 NETWORKS 9 Volterraサービスプラットフォーム概要 Public Cloud Private Cloud

| ©2021 F5 NETWORKS 10 VoltMesh ADC API GW FW

| ©2021 F5 NETWORKS 11 VoltStack • 複雑のアプリケーション配信基盤をシンプルに提供 • VoltStackの基本設定

| ©2021 F5 NETWORKS 12 VoltConsole: WebUIイメージ VoltMeshの設置情報セキュリティ・インシデントサービス情報

| ©2021 F5 NETWORKS 13 Volterra Automation Tools

| ©2021 F5 NETWORKS 14 ・Volterra + TerraformによるvK8sの構築

| ©2021 F5 NETWORKS 15 Volterra vK8s Overview Site-3 vsite-b3:

| ©2021 F5 NETWORKS 16 • Volterra Site • Volterraのノードがデプロイされる、物理もしくはクラウド上のロケーション

| ©2021 F5 NETWORKS 17 • Health Check • HTTPおよびTCP

| ©2021 F5 NETWORKS 18 https://registry.terraform.io/providers/volterraedge/volterra/latest/docs Terraform Volterra Provider

| ©2021 F5 NETWORKS 19 Volterraへのアクセス VoltConsoleで発⾏したAPI Certificate (次⾴参照)を指定 VoltConsoleのAPI

| ©2021 F5 NETWORKS 20 • VoltConsoleで”General”タブを選択して、”Credentials“を選択 • ”Create

| ©2021 F5 NETWORKS 21 デモ構成: オブジェクト間の関連付け Virtual Kubernetes (vK8s):

| ©2021 F5 NETWORKS 22 デモシナリオ 1. vK8sのデプロイ (terraform) •

| ©2021 F5 NETWORKS 23

| ©2021 F5 NETWORKS 24 参考情報本⽇ご紹介したコードは、こちらで公開しております。 https://github.com/ttsuji777/terraform-volterra-samples