借助 cSRX 和 SUSE Rancher 强化云原生基础架构

简介 

随着企业开始采用云原生技术和 Kubernetes，基础架构变得越来越复杂，保护难度呈现指数级增长。容器化的环境具有动态特性，传统的网络安全解决方案往往难以跟上其步伐。 

挑战 

• 东西向流量风险：采用微服务架构后，群集内服务之间的通信（东西向流量）会成为严重的安全风险。 

• 快速变化的环境：Kubernetes 群集时常动态变化，因此很难实施传统的安全措施，维护上也存在相当的难度。 

• 复杂的网络配置： 在 Kubernetes 中配置网络安全策略极具挑战性，而且容易出错。 

 解决方案：cSRX 和 SUSE Rancher 

通过整合瞻博网络 cSRX 和 SUSE Rancher 的强大功能，您可以有效应对这些挑战，更好地保护您的云原生基础架构。  

工作原理 

1. 利用 cSRX 进行微分段： a.  精细化控制：cSRX 支持在容器级别定义精细化安全策略，隔离工作负载并限制横向移动。  

          b.  高级安全功能：借助全面的安全服务套件（包括防火墙、入侵防御和应用安全）保护您的应用。

          c.  动态适应：  cSRX 可自动适应 Kubernetes 环境变化，确保提供持续保护。

       2. 使用 SUSE Rancher 简化管理：

           a.  集中可见性：总览 Kubernetes 基础架构的整体运行，包括安全策略和告警。 

           b. 简化部署：在 Rancher 环境中无缝部署并管理 cSRX，减少运维开销。 

           c.  自动执行策略：自动创建并执行安全策略，最大限度减少人为错误。 

关键优势 

增强安全态势：利用先进的安全功能和精细化控制，保护您的应用免受威胁。 

• 提高运维效率：简化网络安全管理，缩短应对安全事件的时间。 

• 加快上市速度：在不影响安全性的前提下，快速部署新应用并确保安全性。 

• 降低数据泄露风险：防止在未经授权的情况下访问敏感信息，降低数据泄露风险。 

利用 cSRX 和 SUSE Rancher 组合的强大威力，您可以构建强大、安全的云原生基础架构，助力企业信心满满地进行创新。  

验证环境 

本篇博客详细介绍了在 SUSE Rancher RKE2 (v1.30.5+rke2r1) 上使用 cSRX（Junos® 版本 21.1R3.11 和 24.2R1.17）执行的验证活动。  

进行本次验证的目的在于确认瞻博网络 cSRX VNF 在 SUSE Rancher RKE2 上提供的基本 NGFW 功能具有哪些预期行为。我们在 cSRX 上配置了 L3/L4 防火墙规则，将 cSRX 作为位于不同 VNet（方案中使用 MACVLAN 的网络附件定义）上的两个 Ubuntu pod 的默认网关。 

 验证活动中使用的单节点 SUSE Rancher RKE2 托管在 Azure 上： 

验证活动中使用的 SUSE Rancher RKE2 版本详情如下： 

验证方案 

该验证活动中使用了“k8s 内部网络 ”方案（可通过以下文档链接查看相关描述）： 

https://www.juniper.net/documentation/us/en/software/csrx/csrx-consolidated-deployment-guide/csrx-kubernetes-deployment/topics/task/connecting-csrx-internal-network-k8s.html 

此图详细介绍了 RKE2 单节点群集内部的验证架构： 

在 RedHat OpenShift 上进行的 cSRX 验证也采用了这种验证方案： 

RedHat OpenShift 上的瞻博网络 cSRX 验证 

如需详细了解在 RedHat OpenShift 上进行的瞻博网络 CNF 验证，请访问： 

https://catalog.redhat.com/search?gs&q=juniper&searchType=software 

验证详情 

验证所用的配置文件位于： 

https://github.com/ludovic-juniper/csrx-rke2 

  

k8s 命名空间 cSRX 包含三个 pod 和两个使用 MACVLAN 的网络附件定义，用于连接 cSRX 和 Ubuntu pod，具体如上图所示： 

cSRX 21.1R3.11 

cSRX 配置： 

cSRX 许可证： 

cSRX 24.2R1.17 

cSRX 版本： 

cSRX 配置： 

cSRX 许可证： 

验证测试 

允许 iperf 流量从信任区域（专用）流经非信任区域（公共） 

cSRX 21.1R3.11 

cSRX 24.2R1.17

cSRX 安全策略允许 TCP iperf，但拒绝 UDP iperf： 

cSRX 21.1R3.11 

cSRX 24.2R1.17 

只允许 ICMP ping 流量从信任区域流经非信任区域 ： 

采用 cSRX 21.1R3.11 和 cSRX 24.2R1.17 的输出相同 

除 iperf（TCP 端口 5001）和 ICMP ping 之外的其他流量都会被拒绝： 

采用 cSRX 21.1R3.11 和 cSRX 24.2R1.17 的输出相同 

瞻博网络致力于鼓励、支持客户和合作伙伴开启云端化之旅，其中包括在 SUSE Rancher 等基于 Kubernetes 的虚拟化平台上采用安全 VNF 和 CNF。  

上文详细介绍了在 SUSE Rancher 上进行的 cSRX 验证，该验证提供无风险部署，以及在 SUSE Rancher 群集上托管瞻博网络 cSRX 的全部优势，欢迎前往 suse.com 查阅。  

有关在 SUSE Rancher 上进行 cSRX 验证的任何支持请求，请通过 [email protected] 联系我们。