F5 星期五: 容器入口服务获得 K8s 原生支持
容器世界继续以惊人的速度成熟。 在本地和云端采用与容器相关的应用服务是一个很好的指标,表明这项技术已经在短时间内从新兴技术发展成为成熟的生态系统。
随着它的成熟,支持它所需的企业级技术的集成也在不断成熟。 我们看到其他 API 经济正在不断成熟和微调;这使得容器生态系统能够快速整合和扩展。
这种成熟过程令人兴奋的一点是,它鼓励传统的企业级产品朝着 Kubernetes 等容器编排环境的方向发展。 我所说的“朝着方向前进”是指迅速采用诸如抽象领域专业知识的声明性 API 模型之类的想法。 换句话说,简化 BIG-IP 等系统和服务的集成和纳入,以便更广泛的角色能够配置、部署和操作该技术。
这很重要,因为某些应用服务(如 Web应用防火墙)在 NS 入口处的容器上游部署时,在应对攻击及其不良后果方面最为有效。 但这通常需要在 BIG-IP 和 WAF 术语和概念方面拥有丰富的领域专业知识。 解决这一障碍是我们自动化和编排工作的首要目标,这可以从我们的F5 自动化工具链的快速发展中看出。
该工具链中包括 AS3,即 F5应用服务 3 扩展。 AS3 为 BIG-IP 提供了一个现代 (node.js) 接口,支持使用声明性配置来调配和操作 BIG-IP 交付的应用服务。 与我们最新版本的容器入口服务 (CIS)相结合,容器环境的运营商可以采用 BIG-IP 交付的应用服务来保护和加速 API 和应用。
如果您不熟悉,Container Ingress Services 是一种 Kubernetes 原生服务,它提供了容器服务和 BIG-IP 之间的粘合剂。 它监视变化并将这些变化传达给 BIG-IP 提供的应用服务。 反过来,这些又跟上了容器环境的快速变化并使得安全策略能够实施。
这个最新版本(Container Ingress Services 1.9)令人兴奋,因为它通过从使用注释转向使用ConfigMaps引入了对集成的原生 Kubernetes 支持。 这意味着您可以使用熟悉的 Kubernetes 语言通过在 ConfigMap 的数据字段中插入 AS3 声明来集成 F5应用服务。 这包括嵌入证书和选择负载均衡算法以及为 API 或应用部署最低限度的 OWASP Top 10 保护。
现代的、 Kubernetes 友好的声明还允许从存储库中检索策略声明。 这使得 SecDevOps(或 DevSecOps 或只是 SecOps,无论您喜欢什么)能够以不会因需要安全或 WAF 专业知识而给 DevOps 带来负担的方式将安全性转移。
种类: ConfigMap
apiVersion: v1
元数据:
名称:f5-waf
命名空间:默认
标签:
f5type:虚拟服务器
as3:“true”
数据:
模板:|
{
# 服务、池和日志声明在此
“policyWAF”:{
“使用:“owaspautotune”
}
# 监视器和池成员声明在此
“owaspautotune”:{
“类”: “WAF 策略”
“url”:“https://repository/pathToConfig/f5-as3-declarations/master/Common_WAF_Policy.xml”
“ignoreChanges”:true
}
这种本机支持使 DevOps 和 DevSecOps 能够轻松快速地为这些团队运营的 API、应用和服务部署 Web应用防火墙。 目前,还没有像用于入口或负载均衡器的 Kubernetes 语言——专门支持与安全相关的服务。 通过支持使用 ConfigMaps,Container Ingress Services 提供了一种使用更自然、更熟悉的机制将应用安全性与 Kubernetes 集成的简化方法。
资源
Docker Hub 上最新的 (v1.9) 容器入口服务