NGINX東京ハッピーアワー「DevOpsプラクティスによるクラウドでのKubernetesの利用」

NGINX 東京ハッピーアワー
「DevOpsプラクティスによるクラウドでのKubernetesの利⽤」
F5ネットワークスジャパン合同会社
NGINX – テクニカルソリューションズアーキテクト
鈴⽊孝彰

アジェンダ
• F5 Networks, NGINX / NGINX Plusについて
• Kubernetes
• Kubernetes Ingress
• NGINX Ingress コントローラー
• Public Cloudや物理環境での利⽤
• NGINX Ingress コントローラー設定
• マイクロサービスやサービスメッシュ環境について
• NGINX Ingressコントローラーの監視やモニタリング
• F5 / NGINXの今後について
• 休憩
• デモ

NGINX and NGINX Plus
• NGINX – オープンソース, コミュニティ
◦ Web サーバーとコンテンツキャッシュ
◦ レイヤー4/7 ロードバランシング
◦ ⾼負荷サイトはNGINXを選択してします
◦ DockerHubイメージ No1.ダウンロード
• NGINX Plus – 商⽤版, F5ネットワークス
◦ ⾼度な機能と24x7サポート
◦ JWT 認証
◦ 動的再構成⽤ NGINX PLUS REST API
◦ 動的 DNS 解決
◦ アクティブヘルスチェック

NGINX OSS, NGINX Plus (商⽤版)
WAF
機能
Web
サーバ
キャッシュ
ファイア
ウォール
ローバランサ
ド
SSL
リバース
プロキシ
認証
ゲートウェイ
API
ゲートウェイ
アプリケーション
サーバ
<··>
<··>
6
OSS
商⽤商⽤商⽤商⽤商⽤商⽤
OSS OSS OSS
商⽤OSS
Ingress Controller
OSS
Prometheus対応
Dashboard
https://interact.f5.com/jp-products-nginxplus-acquisition.html
https://docs.nginx.com/

NGINX OSS, NGINX Plus (商⽤版)
WAF
機能
Web
サーバ
キャッシュ
ロード
バランサ
SSL
リバース
プロキシ
認証
ゲートウェイ
API
ゲートウェイ
アプリケーション
サーバ
<··>
<··>
7
OSS
商⽤商⽤商⽤商⽤商⽤商⽤
OSS OSS OSS
商⽤OSS
Ingress Controller
OSS
Prometheus対応
Dashboard
https://interact.f5.com/jp-products-nginxplus-acquisition.html
https://docs.nginx.com/
ファイア
ウォール

Kubernetes はコンテナ化されたアプリケーションの
展開やスケーリング、及び管理を⾃動化するための
オープンソースプラットフォームです.

Kubernetesはコンテナ⽤のプラットフォーム
• 実⾏環境に依存しない
(Desktop, VMware, AWS, GKE, IBM Cloud)
• クラウドネイティブ
• ローリングアップデート
• 低いオーバーヘッド
• ⽔平スケーリング
• L7ロードバランシング (Ingress)
• YAML… and more!

Kubernetes Ingress
• Kubernetes リソース
• 利点
•外部からアクセス可能な URL
•⾼度なL7ロードバランシング
•SSL/TLS
•SNI (ホスト名ベースのルーティング)

MORE INFORMATION AT NGINX.COM
Kubernetes環境での利⽤ (Ingress Controller)
https://github.com/nginxinc/kubernetes-ingress
NGINX Plusを⼊り⼝として
Kubernetesアプリケーションを作成
• ⾼度な負荷分散とSSL/TLS 終端
• WebSocket と HTTP/2 のサポート
• リクエストがアプリケーションに
転送される前にURI 書き換え
• 動的な再構成
• セッション維持
• JWT authentication
• 24x7 サポート

NGINX Ingress Controller ⽐較
機能等 kubernetes/ingress-nginx nginxinc/kubernetes-ingress
with NGINX
nginxinc/kubernetes-ingress
with NGINX Plus
開発者 Kubernetes コミュニティ F5 / NGINX Team,コミュニティ F5 / NGINX Team
NGINX バージョンカスタム NGINX ビルド
サードパーティモジュール
公式OSS NGINX (mainline) NGINX Plus (商用版)
商用サポート無無有
Ingress対応有有有
Annotations対応有有有
ConfigMaps対応有有有
TCP/UDP Extension対応有有有
JSON Web Token認証無無有
拡張ステータス有(サードパーティモジュール) 無有
Prometheus対応有有 (OSSメトリクス) 有 (商用版メトリクス)
動的設定変更無無有

Kubernetes環境でのNGINX Ingress Controller設定変更
Annotations ConfigMap
https://github.com/nginxinc/kubernetes-
ingress/blob/master/docs/configmap-and-annotations.md
• AnnotationsはConfigMapよりも優先されます。

Public Cloudでの利⽤
https://cloud.google.com/community/tutorials/nginx-ingress-gke

https://www.brandonbarnett.io/blog/2018/05/how-kubernetes-ingress-and-loadbalancer-resources-work-together/
https://docs.microsoft.com/ja-jp/azure/aks/ingress-basic

https://cloud.ibm.com/docs/containers?topic=containers-ingress&locale=ja#user_managed
https://www.nginx.com/partners/ibm/

https://aws.amazon.com/blogs/opensource/network-load-balancer-nginx-ingress-controller-eks/

kube-proxykube-proxy
hello
kube-proxy
hello
NodePort NodePort NodePort
hello
物理環境での利⽤
kube-proxy mode: IPVS

hello
kube-proxy
hello
hello
LB
BIG-IP Global DNS (GTM)

hello
kube-proxy
hello
hello
LB
BIG-IP
(LTM)

hello
kube-proxy
hello
hello
LB
仮想環境での利⽤
BIG-IP VE Edition (LTM)
VMware

どのようにIngressを利⽤するか?

NGINX PlusNGINX OSS
NGINX Ingress Controller v1.5 設定変更

Ingress Example – URL ベースのルーティング

NGINX Ingress Controller URLベースルーティング
http://example.com/
Upstream: foo-service:80
Upstream: bar-service:80
/foo
/bar
NGINX Ingress Controller

Ingress Example – ホストベースのルーティング

NGINX Ingress Controller ホストベースルーティング
http://foo.example.com/ Upstream: foo-service:80
http://bar.example.com/

Ingress Example – SSL オフロード

NGINX Ingress Controller SSL終端
https://cafe.example.com/
/foo
/bar

- -enable-custom-resources
NGINX PlusNGINX OSS
New!
(*Preview)

VirtualServer
VirtualServerRoute
apiVersion: k8s.nginx.org/v1alpha1
kind: VirtualServer
metadata:
name: vs
spec:
host: virtual.example.com
tls:
secret: cafe-secret
upstreams:
- name: tea
service: tea-svc
port: 80
routes:
- path: /aaa
upstream: tea
- path: /ccc
route: default/ccc
新しいL7ルーティング構成のご提案です。
トラフィック分割や⾼度なコンテンツベースのルーティングなど、
Ingressでサポートされていないユースケースが有効になります。
カスタムリソース

CustomResource: URLベースルーティング
http://example.com/
/foo
/bar
Virtual Server

CustomResource: ホストベースルーティング
http://foo.example.com/ Upstream: foo-service:80
http://bar.example.com/
Virtual Server

CustomResource 設定例
https://example.com/app/
Upstream: Backend-A
Upstream: Backend-B
GET
POST
VirtualServer VirtualServerRoute

CustomResource 設定例
weight:90
weight:10
Upstream: Backend-Stable
Upstream: Backend-Canary

NGINX Ingress Controller 設定例
Cookie
Non-Cookie
Upstream: Backend-App-A
Upstream: Backend-App-B

- -enable-custom-resources
NGINX PlusNGINX OSS
NGINX Ingress Controller 設定変更 (CustomResources)
New!
(*Preview)

どのように展開していきますか?

Kubernetes環境での利⽤

MORE INFORMATION AT
NGINX.COM
Proxy Model
Ingress Controllerを利⽤
- リバースプロキシ
- ロードバランシング
- SSL処理
- キャッシュ
- セッション維持

MORE INFORMATION AT
NGINX.COM
Router Mesh
Model
前段で利⽤
- Ingress Controller
- インバウンドルーティング
中央で利⽤
- NGINX Plus
- サービスヘルスチェック
for サーキットブレーカー
- 帯域制御/レートリミット
- サービスディスカバリ

MORE INFORMATION AT
NGINX.COM
The Fabric Model
前段で利⽤
- Ingress Controller
- インバウンドルーティング
コンテナ内で利⽤
(サイドカーパターン)
- NGINX Plus
- サービス間通信
- サービスヘルスチェック
- 帯域制御/レートリミット
- サービスディスカバリ

サイドカー?
• サイドカーはアプリケーションサービスの横に位置し、そのアプリ
ケーションコンテナにすべてのインバウンドおよびアウトバウンド
ネットワークルーティングを提供するリバースプロキシになります。

F
E
サイドカーアーキテクチャ
E
E
F
F
D
D
D
• アウトバウンドロードバランシング
• サービスディスカバリー
• 認証/認可
• SSL ターミネーション(mTLS)

F
E
サービスメッシュ
E
E
F
F
D
D
D
サービスメッシュコントロールプレーン
サイドカーポリシー定義,
施⾏と管理

サービスメッシュポリシー
• Network Policy
• サービスルーティングへのサービス
• サービスの可⽤性
• サービスの検出
• Access Policy
• IP ホワイトリスト/ブラックリスト
• Allow/Deny
• JWT
• Security Policy
• SSL Termination
• DDoS
• WAF
E
F

Istio Service Mesh
Config設定 Policy管理
mTLS
証明書管理
サービス間通信

どのように監視しますか?

Kubernetes環境での利⽤ (Prometheus連携)
- -enable-prometheus-metrics
NGINX PlusNGINX OSS
Updated!

Kubernetes環境での利⽤ (OpenTracing 連携)
ConfigMap, opentracing: true
NGINX PlusNGINX OSS

NGINX Plus と OpenTracing
https://opentracing.io/
https://www.nginx.com/blog/opentracing-nginx-plus/

F5 BIG-IP と NGINX Ingress Controller の今後

F5 BIG-IP と NGINX Plus Ingress Controller の今後
BETTER TOGETHER: ON-PREMISES OR CLOUD
L4:TCP
Provide Reliable External Access to Kubernetes
L7: WAF Security
Apply application specific security policy
セキュリティリバースプロキシ
外部接続
キャッシュ

まとめ
-クラウド/物理環境でNGINX Ingress Controllerを利⽤していただけます.
- F5 NetworksによりNGINXを作成しているチームがサポートします.
- 今後 F5 Networks + NGINX を組み合わせたユースケース.

5分間休憩
デモ: NGINX Plus Ingress Controller

本⽇のデモ
• Ingress
• URLベースルーティング
• Hostnameベースルーティング
• Annotation, ConfigMap
• http2有効
• Stickyセッション維持
• Custom Resource
• アクセス振分の重み付け
• リクエストメソッドベースルーティング
• 動的スケールアウト/ダウン
• Prometheus + Grafana

Demo環境 (GKE, NGINX Plus Ingress Controller)
Version 1 Version 2
Chromeブラウザー

NGINX Ingress Controller URLベースルーティング
https://nginx.example.com/
Upstream: nginx-v1-svc:80
/v1
/v2

NGINX Ingress Controller ホストベースルーティング
https://nginx-v1.example.com/ Upstream: nginx-v1-svc:80
https://nginx-v2.example.com/

CustomResource 設定例 (重み付け)
https://virtual-splits.example.com/
weight:90
weight:10
Upstream: nginx-v1-srv (Stable)
Upstream: nginx-v2-srv (Canary)

CustomResource 設定例 (GET/POST)
https://virtual-content.example.com/
Upstream: nginx-v1-svc
Upstream: nginx-v2-svc
GET
POST

ご参加ありがとうございました.
Thank you!

NGINX東京ハッピーアワー「DevOpsプラクティスによるクラウドでのKubernetesの利用」

Recommended

Recommended

More Related Content

What's hot

What's hot (20)

Similar to NGINX東京ハッピーアワー「DevOpsプラクティスによるクラウドでのKubernetesの利用」

Similar to NGINX東京ハッピーアワー「DevOpsプラクティスによるクラウドでのKubernetesの利用」 (20)

Recently uploaded

Recently uploaded (9)

NGINX東京ハッピーアワー「DevOpsプラクティスによるクラウドでのKubernetesの利用」