ピンボール戦車少女

セキュリティ対策の株式会社ラック

閉じる

企(qi)業や組織のセキュリティ事故(gu)発生(sheng)時はこちら

緊急対応窓口:サイバー救急センター®

ご相談は予約不(bu)要、24時間対応

電話で相談する
0120-362-119
メールで相談する
サイバー救急センター®のメールアドレス
自分で調べる
「FalconNest」について

HashiCorp製品(pin)

Consul(コンサル)

Solutions & Products

マイクロサービスのメリットを最大限に生かすため、
複雑なインフラ・ネットワークを自動化する

クラウドの活用やコンテナ化(hua)(hua)が進み、アプリケーションのマイクロサービス化(hua)(hua)が進んでいます。しかし、サービス間の接(jie)続情報の複雑化(hua)(hua)とその管理が課(ke)題です。HashiCorp Consulはこの分(fen)散したアプリケーションネットワークにおける課(ke)題を解(jie)決し、ダイナミックなシステム運用を可能(neng)にします。

サービスの強み

マイクロサービスのメリットを最大限に生かすため、
複雑なインフラ調整を自動化する

クラウドやコンテナ環境でサービスを運用するアーキテクチャとしてシステムのマイクロサービス化(hua)(hua)が進んでいます。複数の小さなサービス単位であるマイクロサービスが相(xiang)互に連携する際、連携する他サービスの接(jie)続情報の管理が課題です。また、従来型のシステムでは都度(du)変更作業(ye)が必要であるため、クラウドのメリットを十(shi)分に生かせません。HashiCorp Consulはこの課題を解決します。システム構成(cheng)の変更時に、連携する他サービスにホスト名(ming)やIPアドレスなどの接(jie)続情報の更新を通(tong)知(zhi)し、設定を含(han)めて自動化(hua)(hua)します。

従来のネットワークから、マルチクラウド時代のネットワークへ

従来とは異なるアプローチでマルチクラウド型の先進ネットワークをつくる

  1. サービスを動的に見つけ接続、
    コンテナも含めてシステムを構成
    従来型ネットワークは固定IPアドレスによる静的なネットワークで保護されているプライベートデータセンター。一方、マルチクラウド型ネットワークは動的IPアドレスによる複数のクラウドとプライベートデータセンター、コンテナで構成されています。Consulはサービスを動的に発見・構成します。また、処理量に応じた最適なバランシンを提供します。
  2. 多数のロードバランサーからの脱却
    従来型はトラフィックをルーティングするために多数のロードバランサーを使用していました。マルチクラウド型では、一元化したポリシーを設定した上で、トラフィック量に応じて必要なリソースを検出し、動的に構成します。これにより、ロードバランサーへの依存度を下げConsulによるEast-Westトラフィックを実現します。
  3. ネットワーク、ミドルウェア更新のプロセスを自動化
    従来型は、ネットワーク、ミドルウェアを更新するためにチケットベースのプロセスを経なくてはなりませんでした。マルチクラウド型では、Consulをサービス利用することでネットワーク設定を自動化できます。

HashiCorp Consulが提案するマルチクラウド型ネットワーク

ConsulはHashiCorp社によって開発されたソフトウェアです。共有のレジストリを利用したサービスベースのネットワーキングを実現(xian)することで、マルチクラウド型ネットワークが求める以下の機能を提(ti)供します。

  • サービスディスカバリ
    ヘルスステータスを含めたリアルタイムのサービスカタログを提供
  • Consul Terraform Sync
    スケールアップやスケールインのネットワーク再設定を自動化
  • サービスメッシュ
    IDベースのセキュリティポリシー設定やMutual-TLSによる通信の暗号化

Consulの「サービスディスカバリ」

Consulは追加リソースのホスト名やIPアドレスの検(jian)出を「サービスディスカバリ」機能(neng)により解(jie)決します。

サービスディスカバリの基本的な構成
サービスディスカバリの基本的な構成
  • 各々のホスト上でConsulノードのヘルスチェック機能にてサービス状態(ポート番号、IPアドレス、ホスト名など)をリアルタイムで監視。サービス状況の変化が起きた際は直ちにConsulサーバへデータを送信する。
  • Consulサーバは、Consulノードからの情報を受け、サービスカタログ上にサービス名と物理ロケーションのマッピング情報を保存する。
  • Consulサーバは保存したサービスカタログのデータを、REST API、DNS、コマンドラインにより提供する。

サービスディスカバリの基本的な運用

(1)Consulによりアプリケーションをつなげる

Consulによりアプリケーションをつなげる

(2)Consulにより同一アプリケーションの複数インスタンスに対するDNSラウンドロビンを提供

Consulにより同一アプリケーションの複数インスタンスに対するDNSラウンドロビンを提供
Consulにより同一アプリケーションの複数インスタンスに対するDNSラウンドロビンを提供

(3)サービス停止、復旧、スケールアウト、スケールイン時にサービスカタログを自動更新

サービス停止、復旧、スケールアウト、スケールイン時にサービスカタログを自動更新
サービス停止、復旧、スケールアウト、スケールイン時にサービスカタログを自動更新

(4)マルチプラットフォームに対応したサービスディスカバリ

マルチプラットフォームに対応したサービスディスカバリ
  • consul-k8sによりKubernetesクラスタ間のサービスをConsulでつなぐことが可能
  • consul-esmによりKubernetesクラスタと外部のサービスをConsulでつなぐことが可能

「Consul Terraform Sync」によるネットワーク設定変更の自動化

これまでもConsulでネットワーク設(she)定の自(zi)動化が可(ke)能(neng)でしたが、ConsulとTerraformを組(zu)み合わせ、Consul Terraform Syncモジュールにより、ネットワーク上に追加(jia)されたリソース情(qing)報の検出からネットワーク機器の設(she)定変更まで、一連の流れを自(zi)動化できます。これにより、ネットワークを手動で設(she)定することによる作業効率(lv)が改善され、また設(she)定ミスによる障害発(fa)生のリスクが削減されます。

Consul Terraform Syncモジュールを使用したネットワーク設定変更の動き

Consul Terraform Syncモジュールを使用したネットワーク設定変更の動き
  1. 新しいサービスの登録や変更によりConsulのサービスカタログがアップデート
  2. Consul Terraform Syncがサービスの情報をConsulのサービスカタログから取得
  3. Consul Terraform Syncがネットワーク機器の設定を変更するTerraformのコードを生成
  4. Terraform Applyが実行され変更が適用

Consul Terraform Syncの対象となるネットワーク機器

F5、PaloAlto、Cisco、CheckPinto、A10 Networksなど。

Consulの「サービスメッシュ」機能

マイクロサービスではサービス間連携(サービスディスカバリ)のほか、サービス連携時のセキュリティ確保、連携する他サービスによる障害時の対応などアプリケーション開(kai)発者が考慮する点は多岐(qi)にわたります。これらの課題をConsulのサービスメッシュ機能が一括して解決し、アプリケーション開(kai)発者がビジネスロジックの開(kai)発に専(zhuan)念できるようになります。

Intentionsを使ったセキュリティポリシー

Intentionsを利用したConsulのFirewall機能の例
Intentionsを利用したConsulのFirewall機能の例

Service Segmentation

Sidecarプロキシでアプリケーションに透(tou)過的(de)な通信暗号化(hua)を実現。ACL機能に加えて、mTLSや証明書発行等の機能を包括(kuo)的(de)に提供します。

Service Segmentation

各アプリケーションはSidecarプロキシを利(li)用することでUpstream先(xian)のサービスとmTLS通信を実(shi)現します。また Intentionsの設定で認証されたサービスベースのmTLSが可能となり、IPスプーフィングを回避します。

Pluggable Sidecar Proxy

  • Envoy
  • Consul Built-in Proxy
  • Custom Proxy

Built-in CA

  • ConsulがCAとなり自ら証明書の発行が可能
  • VaultなどをCAとして利用することも可能

Layer 7 Traffic Management

HTTPのパス、パラメータやヘッダーなどを使(shi)って重(zhong)み付けルーティングなど高度なトラフィック制御を実現します。

Layer 7 Traffic Management Layer 7 Traffic Management

ロードバランサやルータなどは不要

Service Routing

  • Pathベースのトラフィックルーティング

Service Splitting

  • 重み付けルーティング

Service Resolver

  • 同一サービスの複数モジュールをサブセットとして管理

Observability

  • Metrics
  • Access logs
  • Distributed Tracing

Mesh Gateway

複雑な運用や設定なしで透過的にデータセンター間のトラフィックをサービスベースでルーティングします。

Mesh Gateway
  • VPNやネットワークピアリングなどの複雑な運用を行うことなくDC間をつなぐ
  • エッジネットワークにEnvoyを活用し、データセンター間通信をProxing
  • Consul Connect GatewayはVMやコンテナなどにデプロイ可能
  • End-to-end Encryption
  • IntentionsによるFirewall

Consul Enterprise Editionのメリット

Consul OSS版にはなく、商用のEnterprise版のみに実装されている機能は以下のとおりです。

機能名 概要
Automated Backups ConsulエージェントやConsulサーバの設定やメタデータ等の一括バックアップを自動化
Automated Upgrades Consulサーバの無停止ローリングアップデートを自動化
Enhanced Read Scalability 負荷の高い、クラスタ内のリーダーを決めるConsensusには参加せず、リードの処理のみを行うインスタンス(Non-voting server)を用意してスケールアウトさせる
Redundancy Zones Non-voting serverを各AZに構築し、Readの処理を分散しつつ、Voting serverが落ちたらNon-votingをVotingに昇格する
Advanced Federation Datacenter間でのWAN Gossipによるクラスタ間通信をフルメッシュではなく、Hub-and-spokeによるシンプル化
Network Segments 同一のConsulクラスタを利用するサービス間でセグメントを分割し、Consul Agent同士の相互通信を防ぐ
Policy as Code (Sentinel) Sentinelによるポリシーの設定
Namespaces マルチテナンシー対応
HashiCorp Support HashiCorp社によるSLA付きサポート

価格

お客様の環境によって異(yi)なりますので、個別(bie)にお見積りいたします。お気軽にお問い合わせください。

「HashiCorp Consul」に関するお問い合わせ

メールマガジン

サイバーセキュリティや
ラックに関する情報を
お届けします。

page top