This is an NGINX & OpenShift webinar for the Energy Sector.

1. Red Hat OpenShiftの
コンテナアプリケーションを
NGINXにより柔軟・セキュアにする方法
F5ネットワークスジャパン合同会社

2. | ©2021 F5
2
Agenda
•エネルギー業界DXを支える
モダンアプリケーションデザイン
•Red Hat & NGINX Partnership
•NGINXのご紹介
•OpenShiftとNGINXの活用

3. | ©2021 F5
3
エネルギー業界DXを支える
モダンアプリケーションデザイン

4. | ©2021 F5
4
アプリケーションが顧客体験の価値を最大化させる
Search To Go Wallet Cart Susan
Contactless Pick-up
at Redmond
Same Day Delivery
at 98008
Search your shopping list
Weekly deals & catalogs
Invite Club special offers
Shop your store
Search
在庫情報
店舗情報
購入履歴・カタログ
ウォレットサービス
CLOUD A EDGE A CDN A
CLOUD B EDGE B CDN B
DC A CDN D
DC B
CLOUD C EDGE C CDN C
アプリケーションは複数のクラウド・Edge・
CDN・データセンターを通じて提供され、
それが一つの「顧客体験」を作る

5. | ©2021 F5
5
アプリケーションが顧客体験の価値を最大化させる
Search To Go Wallet Cart Susan
Contactless Pick-up
at Redmond
Same Day Delivery
at 98008
Search your shopping list
Weekly deals & catalogs
Invite Club special offers
Shop your store
Search
在庫情報
店舗情報 ウォレットサービス
CLOUD A EDGE A
CDN A
CLOUD B EDGE B
CDN B
DC B
CLOUD C EDGE C
CDN C
Contactless Pick-up
at Redmond Wallet
App
App
Same Day Delivery
at 98008
App
App
購入履歴・カタログ
DC A CDN D
Weekly deals &
catalogs
App
App
Customer
App
App

6. | ©2021 F5
6
アプリケーションが顧客体験の価値を最大化させる
Search To Go Wallet Cart Susan
Contactless Pick-up
at Redmond
Same Day Delivery
at 98008
Search your shopping list
Weekly deals & catalogs
Invite Club special offers
Shop your store
Search
在庫情報
店舗情報 ウォレットサービス
CLOUD A EDGE A
CDN A
CLOUD B EDGE B
CDN B
DC B
CLOUD C EDGE C
CDN C
Contactless Pick-up
at Redmond Wallet
Same Day Delivery
at 98008
購入履歴・カタログ
DC A CDN D
Weekly deals &
catalogs
Operator
Customer
Developer
高速・安定
省リソース
自由な開発
高度な
セキュリティ対策
攻撃・情報漏洩・
サービスダウン
最も人に近い
偽の悪意ある操作
アプリケーションを中心としたマルチクラウド環境における高いサービスレベルの実現
App
App App
App
App
App
App
App

7. | ©2021 F5
7
アプリケーションが顧客体験の価値を最大化させる
Search To Go Wallet Cart Susan
Contactless Pick-up
at Redmond
Same Day Delivery
at 98008
Search your shopping list
Weekly deals & catalogs
Invite Club special offers
Shop your store
Search
在庫情報
店舗情報 ウォレットサービス
CLOUD A EDGE A
CDN A
CLOUD B EDGE B
CDN B
DC B
CLOUD C EDGE C
CDN C
Contactless Pick-up
at Redmond Wallet
Same Day Delivery
at 98008
購入履歴・カタログ
DC A CDN D
Weekly deals &
catalogs
Operator
Customer
Developer
高速・安定
省リソース
自由な開発
高度な
セキュリティ対策
攻撃・情報漏洩・
サービスダウン
最も人に近い
偽の悪意ある操作
様々なプロトコル対応
HTTP/HTTPS,
TCP/UDP, gRPC
トラフィック効率化
コンテンツキャッシュ
アクセス制御、レート制限
App
App App
App
App
App
App
App
セキュリティ・認証
権限管理

8. | ©2021 F5
8
Red Hat & NGINX
Partnership

9. | ©2021 F5
9
F5 & Red Hat Partnership
F5 / NGINX ｘRed Hatによる強力なパートナーシップ

10. | ©2021 F5
10
NGINX

11. | ©2021 F5
11
4.4億
sites run NGINX
We have tremendous insight into application patterns
https://news.netcraft.com/archives/2021/07/26/july-2021-web-server-survey.html

12. | ©2021 F5
12
NGINX Plus – クラウドに依存せずポータブル
ベアメタル マルチクラウド コンテナ
Linux/BSD
CPUs
VMware vSphere
Advanced
Load
Balancing
Advanced
Content
Cache
Web Server
Reverse Proxy
and Cache
Advanced
Monitoring &
Management
Advanced
Security
Controls

13. | ©2021 F5
13
NGINX 製品
DELIVERING MODERN APPLICATIONS AT SCALE ACROSS SEAMLESSLY ACROSS MULTI-CLOUD
NGINX Plus
All-In-One Software
ロードバランサー、 Webサーバ
コンテンツキャッシュ
安定、高速、高機能
必要となるリソースは最小
NGINX Controller
NGINX＋統合管理ソフトウェア
NGINX+のロードバランサやAPI
Gateway、更にマルチクラウド環
境においても容易に管理が可能。
GUI/CLIに加えAPIでの制御が可能
NGINX App Protect
アプリケーションに特化した
Web Application Firewall
NGINX+にシームレスに統合可能
な新しいWAF。 F5の実績に基づき、
高速な高品質なWAFを実現
High quality Support

14. | ©2021 F5
14
NGINX コンテナ環境向け製品
DELIVERING MODERN APPLICATIONS AT SCALE ACROSS SEAMLESSLY ACROSS MULTI-CLOUD
NGINX Service Mesh
NGINX Plusで複雑なマイクロ
サービス、アプリケーション間の
通信問題を解決するシンプルな
サービスメッシュソリューション。
GKE, EKS, AKS対応
NGINX Ingress
Controller
Kubernetes環境への
外部アクセスをコントロール。
NGINX機能をIngressリソース
を通じて管理可能。
NGINX App Protect対応
High quality Support

15. | ©2021 F5
15
OpenShiftとNGINXの活用

16. | ©2021 F5
16
アプリケーションを提供するためには様々なサービスの
活用が必要
Code Ingress
Controller
App / web
server
DNS DDoS CDN
Load
balancer
API
gateway
App
Security
Customer
DEVOPS /
APPLICATIONS
NETOPS /
OPERATIONS

17. | ©2021 F5
17
アプリケーションを提供するためには様々なサービスの
活用が必要
DEVOPS /
APPLICATIONS
NETOPS /
OPERATIONS
Edge
Ingress
Controller
pod
pod
pod
pod
pod
Per-Pod proxy
Per-Service
proxy
Code Customer

18. | ©2021 F5
18
コンテナプラットフォームに最適なNGINX Technology
Source: Datadog Container Report 2020
The Top Technologies
Running on Docker
Top Ingress Providers
CNCF Survey
Source: CNCF Survey 2020

19. | ©2021 F5
19
Ingress Controller /
NGINX Ingress Operator

20. | ©2021 F5
20
Red Hat OpenShift NGINX Ingress Operator
SIMPLIFIED KIC LIFECYCLE MANAGEMENT
• フルサポートで優れた機能を持つOpenShift 4.x向
けKubernetes Ingress Controller(KIC)を提供
• 管理者によりOperatorを用いてインストールした
後、一つのマニフェストファイルでKIC Clusterを
デプロイ可能
• KICの設定や管理に関するライフサイクルの複雑さ
を抽象化できる
• OpenShift Operator Hub UI からクリックでイン
ストール可能
• ロードマップ: Vanilla Kubernetes support, KIC
の集計された統計情報の提供, NGINXステートフル
機能の管理 (e.g. k/v store, HA zone sync)
Basic manifestを用いて最小限の項目で設定可能。ただし、様々なオプション変数
の利用が可能 (https://github.com/nginxinc/nginx-ingress-operator)
Point and click install

21. | ©2021 F5
21
Red Hat OpenShift NGINX Ingress Operator

22. | ©2021 F5
22
Red Hat OpenShift NGINX Ingress Operator

23. | ©2021 F5
23
Ingress Controller とは？
Kubernetes Cluster
pod
pod
pod
pod
Service A
pod
pod
pod
pod
Service B
pod
pod
pod
pod
Service C
Ingress
Controllers
Kubernetes環境に特化したL7LB機能:
• Kubernetesプラットフォーム外部から
のトラフィックを受け取り、
Kubernetes内のPod（Containers)に
対して負荷分散を行う
• Kubernetes APIを用いてIngress
Resourceというオブジェクトを用いて
設定する
• Kubernetes環境のPodをモニターし、
自動的に負荷分散設定を更新する。
例：Podの増減に対する対応
Kubernetes API
Ingress Resources
Service information

24. | ©2021 F5
24
OpenShiftで効率的なアプリケーションセキュリティ
Kubernetes Cluster
pod
pod
pod
pod
Service A
pod
pod
pod
pod
Service B
pod
pod
pod
pod
Service C
• NGINX Ingress Controller
高速・大容量通信時にも安定動作
帯域・コネクションリミットによる不要な通信の拒否
• JWT validation (OAuth, OIDC)
アプリケーションに接続するユーザが正しいユーザで
あるかJWTを評価し、判定します
• WAF
App Protect を用いて高度なWeb Application
Securityを実現することが可能です
アプリケーションに手を加えることなくセキュリティを追加:
NGINX
App Protect
Ingress
Controllers

25. | ©2021 F5
25
OpenShift 環境における
効果的なセキュリティ機能の実装

26. | ©2021 F5
26
２種類のWAF利用者について考える
NetOps/SecOps:
• 運用を主としたチーム
• 安定したアプリケーション
• 最重要な課題：ガバナンス、安定性、予測可
能性
DevSecOps/DevOps:
• それぞれの要件に応じて分散化されたチーム
• 複数のアプリケーション、数多くの開発中の
プロダクト
• 最重要な課題：最短での市場投入、即座に進
化（革新的な機能のリリース）ができること
Edge
Customer
DEVOPS /
APPLICATIONS
NETOPS /
OPERATIONS
Ingress
Controller
pod
pod
pod
pod
pod
Per-Pod proxy
Per-Service
proxy
Service Mesh network

27. | ©2021 F5
27
担当/提供箇所の整理
Ingress Controller Per-Service Proxy Per-Pod Proxy
担当者 SecOps/DevSecOps DevSecOps DevOps
スコープ サービス毎・URI毎 サービス毎 Endpoint毎
コスト・効率性 高
(統合によるメリット)
良 普通
設定管理方法 K8s API nginx.conf nginx.conf
需要 高 中 普通
Edge
Ingress
Controller
pod
pod
pod
pod
pod
Per-Pod proxy
Per-Service
proxy
Service Mesh network

28. | ©2021 F5
28
Ingress ControllerでのWAFの実装
DEPLOY WAF POLICIES ON THE INGRESS CONTROLLER, CONFIGURED USING KUBERNETES API
SecOpsやDevSecOps向けのKubernetes-nativeとして提供する際に適した構成
Edge
Ingress
Controller
pod
pod
pod
pod
pod
Per-Pod proxy
Per-Service
proxy
Service Mesh network
K8s SecOps/DevSecOpsを中心としたアプ
ローチ
NetOpsやDevOpsチーム配下でWAFポリシー
を管理する場合に適したソリューション
ポリシーはKubernetes APIを用いて運用される
NGINX Ingress Controller RBACで以下のよう
な機能が可能：
• 管理者（Admin)はリスナーごとにポリシー
を強制することが可能
• DevOpsユーザはIngress Resourceごとにポ
リシーを選択することが可能

29. | ©2021 F5
29
特定サービス向けK8S環境でのWAFの実装
DEPLOY WAF POLICIES FOR A SPECIFIC SERVICE USING A PROXY TIER IN FRONT OF THE
SERVICE
DevSecOpsを中心としたアプローチ
特定の小さな複数のサービスで、
DevSecOpsチームにてポリシーを管理する
場合に適したソリューション
WAFをFront-End Proxyとして実装し、サー
ビスを保護する
• セキュアに実装することが用意
• Per Service Proxyの箇所でWAFの更新や
構成管理が必要となる
サービス毎のリソース制御が用意になり、IC
設定の複雑性を減らすことができる
特定デバイス向けのDevSecOps管理のWAFとして提供する際に適した構成
Edge
Ingress
Controller
pod
pod
pod
pod
pod
Per-Pod proxy
Per-Service
proxy
Service Mesh network

30. | ©2021 F5
30
特定PodへのK8S環境でのWAFの実装
DEPLOY WAF POLICIES FOR A SPECIFIC POD/INSTANCE, EMBEDDING NGINX PLUS WITHIN THE
POD
AppOwnerを中心としたアプローチ
App OwnerがWAFをアプリケーションに合
わせて管理する場合に適したソリューション
ApplicationごとにProxyを配置し、WAF機能
を利用
• CI/CDを用いて実装、テスト、デプロイ
を実施
• WAFを更新する場合アプリケーション
Podの構築が必要
アプリケーション・サービスとともに密接な
WAFを管理が必要となる場合に求められる
AppOwnerがWAF Policyを管理する場合に適した構成
Good use case: 古いアプリケーションをコンテナ化
し、脆弱性が内包されている場合
Edge
Ingress
Controller
pod
pod
pod
pod
pod
Per-Pod proxy
Per-Service
proxy
Service Mesh network

31. | ©2021 F5
31
まとめ

32. | ©2021 F5
32
まとめ
Red Hat OpenShift（や、Kubernetes）はシンプルな利用に特化したデフォルトのIngress Solutionが存在する
NGINXの機能とRed Hat OpenShiftの便利な管理機能を組み合わせることにより、
高速なアプリケーションデリバリと強固なセキュリティを実現することが可能です
NGINX Plus Ingress Controller はより柔軟性の高い機能を提供:
• スケーラビリティ・パフォーマンス： マルチテナント、パフォーマンス最適化を各チームやアプリケー
ションに対し提供することが可能です
• 機能： routing, rate limiting, authentication, rewriteなど。Canary, Blue-Green, Circuit Breakersの実
装が可能
• セキュリティ：
ユーザを適切に認証して安全なアクセス：JWT
外部から悪意ある通信に対する防御・アプリケーションの脆弱性に対する瞬時の防御：WAF

33. | ©2021 F5
33
お問い合わせフォーム
• 製品に関するお問い合わせ
• 購入に関するお問い合わせ
• 構成・設計に関するご相談
など
https://www.nginx.co.jp/contact-sales/
お気軽にお問い合わせください

34. | ©2021 F5
34
https://www.nginx.co.jp/free-trial-request/
https://www.nginx.co.jp/free-trial-request-nginx-controller/
NGINX Plus, NGINX App Protect
無料トライアル
NGINX Plusは、オールインワン型のソフトウェアロードバランサ、コンテンツ
キャッシュ、Webサーバ、APIゲートウェイ、マイクロサービスプロキシです。
NGINX App Protectは、業界トップクラスのF5の高度なWAFテクノロジーを
NGINX Plusに搭載し最新のアプリケーションセキュリティを提供します。
この2つの技術の融合により、最新の分散型環境におけるWeb/モバイルアプリケー
ションの拡張性と保護が実現します。
NGINX Controllerの評価版
NGINX Controllerは、NGINXデータプレーンを管理するNGINXのコントロール
プレーンソリューションです。マルチクラウド環境でロードバランサ―、APIゲート
ウェイ、およびサービスメッシュのスケーラブルな実装を容易に集中管理することが
できます。
お申し込みのお客様向けに、NGINX Controllerの無償評価版をご用意しています。
NGINX Plus無料トライアル
NGINX Controller 無料トライアル
無料トライアル