WHITE PAPER

クラウドネイティブ インフラストラクチャにより5Gで成功する

5Gは、サービス プロバイダにとってのデジタル情勢を一変させ、新たなユース ケースや収益機会をもたらしています。5Gへとうまく移行できたサービス プロバイダは、新たなエンタープライズ アプリケーション、産業オートメーション、IoTに加え、ゲーミングやAR/VRなどの消費者サービスからも利益を得ることができます。これらの新しいユース ケースは、クラウドネイティブのサービスベースのアーキテクチャ(SBA)上に構築された新たな5G SA(スタンドアロン)Coreにより実現されます。このような新たな機会を最大限に活かすためには、サービス プロバイダは、5G Core、vRANおよびN6-LANネットワーク機能(NF)、エンタープライズおよび消費者アプリケーション/サービスに対応した一貫性のあるクラウドネイティブ インフラストラクチャを定義し、コアからエッジまで導入する必要があります。クラウドネイティブ インフラストラクチャは、サービス プロバイダが5Gで成功を収めるための基盤を構築します。

インフラストラクチャは5G導入に不可欠な構成要素であり、新しい5Gユース ケースを本格的に実現するサービス プロバイダの能力を決定づけます。そのため、独自の5Gクラウドネイティブ インフラストラクチャを定義し、管理し、制御することがサービス プロバイダにとって必須となります。実際、インフラストラクチャに投資を集約させている先例が多数存在します。Google、AWS、Azure、さらにはAppleといったハイパースケーラーに目を向けると、これらの企業はいずれも、収益を創出するサービスと消費者アプリケーションを確実かつ安全に提供するインフラストラクチャの構築に積極的に投資しています。

5Gインフラストラクチャは、今日の最先端のWebアプリケーションを支えているテクノロジを活用して、クラウドネイティブのコンテナ化されたアーキテクチャ上に構築されています。これにより、サービス プロバイダは新たな水準の運用自動化、柔軟性、適応性を実現できます。Kubernetesは、コンテナ管理およびオーケストレーションの業界標準となり、ほぼすべてのサービス プロバイダが自社のクラウドネイティブ インフラストラクチャに使用しています。しかし、Kubernetesクラスタへのデータ フローとKubernetesクラスタ内のデータ フローに対して、サービス プロバイダ ネットワーク独自の要件が新たに生じています。本来、Kubernetesはこれらの要件に対応できるように構築されていません。以降のセクションでは、重要なvRAN、5G Core NF、エンタープライズおよび消費者アプリケーションをサポートするためにクラウドネイティブ インフラストラクチャが満たさなければならない独自の要件について考察した後、F5がこれらの要件をどのように解決するのかを説明します。

クラウドネイティブ インフラストラクチャの制御、セキュリティ、可視性

サービス プロバイダが、信頼性の高い安全で拡張可能なサービスを提供するには、考慮しなければならない主要な要件が3つあります。

  • 制御:サービス プロバイダは、サービス プロバイダ ネットワークに固有の複数のトラフィック タイプに対してポリシー制御を適用できる必要があります。インテリジェントなトラフィック管理を適用することができれば、ネットワーク スライシングなどの新しいサービスや、4Gから5Gへのプロトコルの移行をサポートし、5Gに対応した新たなユース ケースに必要な基盤を提供できます。
  • セキュリティ:顧客からの信頼と顧客維持を高いレベルで保つには、ネットワークの複数のポイントで複数のレイヤにわたってセキュリティ コントロールを適用する必要があります。
  • 可視性:インフラストラクチャに入るトラフィックの流れとインフラストラクチャ内を行き交うトラフィックの流れを可視化することで、運用効率が高まり、トラブルシューティングの効力が増し、より柔軟な収益管理が可能になります。

イングレス/エグレス制御

最初に検証するのは、Kubernetesクラスタのイングレス/エグレス ネットワーキング(「南北トラフィック」ともいう)の要件と解決策です。Kubernetesクラスタに入る、またはKubernetesクラスタ内を行き交う主要な通信プロトコルがHTTP/HTTPSであるクラウド環境で運用するほとんどのWebアプリケーションには、標準のKubernetesネットワーキングで十分です。サービス プロバイダ環境では、多様なプロトコルに対応する必要があるためにKubernetesネットワーキングに独自の課題が生じます。5Gへの移行はすべてが切り替わるようなものではないでしょう。大部分のサービス プロバイダは、4Gと5Gを同時に運用する必要があり、これを可能にする移行ソリューションが必要です。例えば、5G SA Coreの公開に伴い、多くのサービス プロバイダは、自社の既存の4G請求課金システムを活用して5Gの提供を前倒しで進めることで、5Gへの投資をより早期に回収できることになります。これは、自社のKubernetesクラスタで4Gと5Gの両方のプロトコルに対応しなければならないことを意味します。既存のKubernetes機能を強化するには、イングレス/エグレス制御のサービス プロキシが必要になります。

イングレス/エグレス制御を提供するサービス プロキシがあれば、Kubernetes用に強化されたネットワーキング サービスを提供することでサービス プロバイダ ネットワークの厳しい要件を満たすことができます。

  • 4Gおよび5Gシグナリングを含む複数のプロトコルのサポート
  • ルーティング
  • ロード バランシング

また、サービス プロバイダは、Kubernetesクラスタの入口(イングレス ポイント)でクラスタを攻撃から守り、加入者単位で可視化する必要があります。クラスタの入口に一連の堅牢なセキュリティ サービスを適用することが防御の最前線になります。DDoS対策、ファイアウォール、WAFなどのセキュリティ サービスを入口に適用することで、悪意のあるトラフィックがクラスタに侵入して5G Coreネットワーク機能と顧客アプリケーションに悪影響を及ぼすのを防ぐことができます。サービス プロバイダは、イングレス セキュリティに加えて、加入者単位でトラフィックを可視化する必要があります。この貴重なデータは、ネットワークの問題のトラブルシューティングに役立つだけでなく、収益保証にも利用できます。サービス プロバイダは、コンプライアンスと課金の目的でイベントを確実に追跡できるようにして収益を保証するために莫大な経費をかけています。Kubernetesクラスタの入口でこのデータを収集し、一連の動的コンテナから得られたレポートと比較することができます。

つまり、イングレス/エグレス制御、セキュリティ、可視性を提供するサービス プロキシがあれば、5Gクラウドネイティブ インフラストラクチャの要件を満たすためにKubernetesが必要とする重要な機能を確保できます。

サービス メッシュ

以上、Kubernetesベースのクラウドネイティブ インフラストラクチャに入る南北トラフィックの要件について考察しました。次は、クラスタ内部のトラフィックの要件と課題を見ていきましょう。イングレスおよびエグレスと同様に、クラスタ内で実行されているサービス間の東西通信は、クラウドネイティブの5Gインフラストラクチャとの互換性を確保するために、可観測性とセキュリティのより高い水準を満たさなければなりません。サービス プロバイダは、クラスタ内のサービス間の通信を制御するセキュリティ ポリシーを適用できなければなりません。5G Coreの分離によって、クラスタ内部の可観測性の強化という要件が生じています。可観測性の強化により、サービス プロバイダは、サービスの稼働状況が健全かどうかを評価し、健全でない場合はその根本原因を特定できるようになります。また、サービス プロバイダは合法的傍受などの政府要件に対応できる能力をインフラストラクチャに装備する必要があります。このような要件は、Kubernetesネットワーキングとその制御に課題を突き付けています。これらの課題に対処する方法の一つが、Istioなどのサービス メッシュを導入することです。サービス メッシュは以下の機能をもたらします。

  • 信頼性:再試行、タイムアウト、カスケード障害の緩和
  • 可観測性とデバッグ:監視、トレース、メトリクス
  • セキュリティ:認証/認可、シークレットの管理、暗号化の保証
  • トラフィック管理:サービス検出、カスタム ルーティング、カナリア デプロイ

クラウドネイティブ インフラストラクチャのためのF5ソリューション

F5は、アプリケーション、ネットワーク、およびセキュリティ サービスの業界リーダーであり、5G Coreとクラウドネイティブ5Gインフラストラクチャに向けたソリューションを幅広く提供しています。F5が提供している主力製品は2つあり、vRAN、5G Core、およびエンタープライズ アプリケーションのネットワーキングとセキュリティの要件をサポートするクラウドネイティブ インフラストラクチャを構築する際にサービス プロバイダが直面する課題を解決します。

  • F5 BIG-IP Service Proxy for Kubernetes(BIG-IP SPK)
  • Carrier-Grade Aspen Mesh

BIG-IP Service Proxy for Kubernetes(SPK)

BIG-IP SPKは、フットプリント全体にわたってクラウドネイティブ インフラストラクチャを導入するサービス プロバイダ専用に設計された、マルチプロトコル シグナリングのサポートとセキュリティ備えたイングレス/エグレス制御を提供する点で業界でも独自の地位を確立しています。また、BIG-IP SPKでは、構成とオーケストレーションについてKubernetes設計パターンとの整合性も図られています。このソリューションにより、業界をリードするネットワーキングおよびセキュリティ機能をKubernetesベースのインフラストラクチャに組み込むことができます。[1]

イングレス/エグレス制御

  • L4ロード バランシング:TCP、UDP、SCTP
  • L7ロード バランシング:Diameter、SIP、HTTP/2
  • GTPcV2ロード バランシング
  • ルーティング
  • 速度制限

セキュリティ

  • シグナリング ファイアウォール、DDoS、WAF
  • 暗号化/復号
  • トポロジ隠蔽

可視性

  • 収益保証
  • 統計と分析

また、BIG-IP SPKは、Intel SmartNICの強化機能を利用してパフォーマンスと拡張性を向上させます。

Carrier-Grade Aspen Mesh

Carrier-Grade Aspen Meshは、サービス プロバイダのクラウドネイティブ インフラストラクチャ専用のサービス メッシュです。Aspen Meshは、オープン ソースのIstioをベースに構築されたサービス メッシュであり、サービス プロバイダ ネットワークに不可欠な機能を追加します。

  • 各5G Core Kubernetesクラスタ内で確保される他に類のないトラフィックの可視性。収益保証を可能にし、サービス プロバイダは既存の課金システムを使用して5Gを収益化することができます。
  • マルチベンダおよびマルチサイト ネットワーク機能の間を行き交うすべてのトラフィックの一貫した暗号化および認証アプローチによる高度なセキュリティ。堅牢なmTLS技術をベースに構築され、キャリアグレードの3GPP対応認証機関に連結されています。
  • トラフィック制御とポリシー管理。これにより、サービス プロバイダはサービス通信を効率的にルーティングし、サービス メッシュとネットワーク トラフィックのビジネス ポリシーとコンプライアンス ポリシーを設定し、実施することができます。

また、Aspen Meshは、標準のKubernetesには用意されていないパケット キャプチャ機能も提供します。パケット キャプチャは、クラスタ内のCNF間の通信の問題のトラブルシューティングを容易にし、合法的傍受といった政府要件に準拠するために必要なインフラストラクチャを提供します。

5G Coreの例

BIG-IP SPKとCarrier-Grade Aspen Meshは連携して動作することで5Gクラウドネイティブ インフラストラクチャでKubernetesを使用する際のさまざまな課題を解決します。BIG-IP SPKは、マルチプロトコル シグナリングのサポート、セキュリティ、およびKubernetesクラスタへのトラフィックの可視化に対するニーズに応えます。一方、Carrier-Grade Aspen Meshは、CNF間の通信を処理します。どちらも、5Gクラウドネイティブ インフラストラクチャの導入に欠かせない機能です。次の図は、BIG-IP SPKとAspen Meshを使用している5Gインフラストラクチャを表したものです。

まとめ

サービス プロバイダは、5Gの導入を成功させ、新しい5G対応ネットワークによって可能になるアプリケーションとサービスをサポートするうえでクラウドネイティブ インフラストラクチャが担う中心的役割を理解しています。サービス プロバイダは、5Gクラウドネイティブ インフラストラクチャに必要な制御、セキュリティ、可視性を提供するソリューションを模索しています。F5は、サービス プロバイダ ネットワークの要件を理解し、Kubernetesを使用したクラウドネイティブの5Gインフラストラクチャの構築と導入を成功に導くソリューションをサービス プロバイダに提供します。

1 今後の利用可能性については、F5までお問い合わせください。

Published October 29, 2020
  • Share to Facebook
  • Share to Twitter
  • Share to Linkedin
  • Share to email
  • Share via AddThis

Connect with F5

F5 Labs

The latest in application threat intelligence.

DevCentral

The F5 community for discussion forums and expert articles.

F5 Newsroom

News, F5 blogs, and more.