株式会社ラック

閉じる

企業や組織のセキュリティ事故発生時はこちら

緊急対応窓口:サイバー救急センター®

ご相談は予約不要、24時間対応

電話で相談する
0120-362-119
メールで相談する
サイバー救急センター®のメールアドレス
自分で調べる
「FalconNest」について

HashiCorp製品

Consul(コンサル)

Solutions & Products

マイクロサービスのメリットを最大限に生かすため、
複雑なインフラ・ネットワークを自動化する

クラウドの活用やコンテナ化が進み、アプリケーションのマイクロサービス化が進んでいます。しかし、サービス間の接続情報の複雑化とその管理が課題です。HashiCorp Consulはこの分散したアプリケーションネットワークにおける課題を解決し、ダイナミックなシステム運用を可能にします。

サービスの強み

マイクロサービスのメリットを最大限に生かすため、
複雑なインフラ調整を自動化する

クラウドやコンテナ環境でサービスを運用するアーキテクチャとしてシステムのマイクロサービス化が進んでいます。複数の小さなサービス単位であるマイクロサービスが相互に連携する際、連携する他サービスの接続情報の管理が課題です。また、従来型のシステムでは都度変更作業が必要であるため、クラウドのメリットを十分に生かせません。HashiCorp Consulはこの課題を解決します。システム構成の変更時に、連携する他サービスにホスト名やIPアドレスなどの接続情報の更新を通知し、設定を含めて自動化します。

従来のネットワークから、マルチクラウド時代のネットワークへ

従来とは異なるアプローチでマルチクラウド型の先進ネットワークをつくる

  1. サービスを動的に見つけ接続、
    コンテナも含めてシステムを構成
    従来型ネットワークは固定IPアドレスによる静的なネットワークで保護されているプライベートデータセンター。一方、マルチクラウド型ネットワークは動的IPアドレスによる複数のクラウドとプライベートデータセンター、コンテナで構成されています。Consulはサービスを動的に発見・構成します。また、処理量に応じた最適なバランシンを提供します。
  2. 多数のロードバランサーからの脱却
    従来型はトラフィックをルーティングするために多数のロードバランサーを使用していました。マルチクラウド型では、一元化したポリシーを設定した上で、トラフィック量に応じて必要なリソースを検出し、動的に構成します。これにより、ロードバランサーへの依存度を下げConsulによるEast-Westトラフィックを実現します。
  3. ネットワーク、ミドルウェア更新のプロセスを自動化
    従来型は、ネットワーク、ミドルウェアを更新するためにチケットベースのプロセスを経なくてはなりませんでした。マルチクラウド型では、Consulをサービス利用することでネットワーク設定を自動化できます。

HashiCorp Consulが提案するマルチクラウド型ネットワーク

ConsulはHashiCorp社によって開発されたソフトウェアです。共有のレジストリを利用したサービスベースのネットワーキングを実現することで、マルチクラウド型ネットワークが求める以下の機能を提供します。

  • サービスディスカバリ
    ヘルスステータスを含めたリアルタイムのサービスカタログを提供
  • Consul Terraform Sync
    スケールアップやスケールインのネットワーク再設定を自動化
  • サービスメッシュ
    IDベースのセキュリティポリシー設定やMutual-TLSによる通信の暗号化

Consulの「サービスディスカバリ」

Consulは追加リソースのホスト名やIPアドレスの検出を「サービスディスカバリ」機能により解決します。

サービスディスカバリの基本的な構成
サービスディスカバリの基本的な構成
  • 各々のホスト上でConsulノードのヘルスチェック機能にてサービス状態(ポート番号、IPアドレス、ホスト名など)をリアルタイムで監視。サービス状況の変化が起きた際は直ちにConsulサーバへデータを送信する。
  • Consulサーバは、Consulノードからの情報を受け、サービスカタログ上にサービス名と物理ロケーションのマッピング情報を保存する。
  • Consulサーバは保存したサービスカタログのデータを、REST API、DNS、コマンドラインにより提供する。

サービスディスカバリの基本的な運用

(1)Consulによりアプリケーションをつなげる

Consulによりアプリケーションをつなげる

(2)Consulにより同一アプリケーションの複数インスタンスに対するDNSラウンドロビンを提供

Consulにより同一アプリケーションの複数インスタンスに対するDNSラウンドロビンを提供
Consulにより同一アプリケーションの複数インスタンスに対するDNSラウンドロビンを提供

(3)サービス停止、復旧、スケールアウト、スケールイン時にサービスカタログを自動更新

サービス停止、復旧、スケールアウト、スケールイン時にサービスカタログを自動更新
サービス停止、復旧、スケールアウト、スケールイン時にサービスカタログを自動更新

(4)マルチプラットフォームに対応したサービスディスカバリ

マルチプラットフォームに対応したサービスディスカバリ
  • consul-k8sによりKubernetesクラスタ間のサービスをConsulでつなぐことが可能
  • consul-esmによりKubernetesクラスタと外部のサービスをConsulでつなぐことが可能

「Consul Terraform Sync」によるネットワーク設定変更の自動化

これまでもConsulでネットワーク設定の自動化が可能でしたが、ConsulとTerraformを組み合わせ、Consul Terraform Syncモジュールにより、ネットワーク上に追加されたリソース情報の検出からネットワーク機器の設定変更まで、一連の流れを自動化できます。これにより、ネットワークを手動で設定することによる作業効率が改善され、また設定ミスによる障害発生のリスクが削減されます。

Consul Terraform Syncモジュールを使用したネットワーク設定変更の動き

Consul Terraform Syncモジュールを使用したネットワーク設定変更の動き
  1. 新しいサービスの登録や変更によりConsulのサービスカタログがアップデート
  2. Consul Terraform Syncがサービスの情報をConsulのサービスカタログから取得
  3. Consul Terraform Syncがネットワーク機器の設定を変更するTerraformのコードを生成
  4. Terraform Applyが実行され変更が適用

Consul Terraform Syncの対象となるネットワーク機器

F5、PaloAlto、Cisco、CheckPinto、A10 Networksなど。

Requirements | Consul by HashiCorp

Consulの「サービスメッシュ」機能

マイクロサービスではサービス間連携(サービスディスカバリ)のほか、サービス連携時のセキュリティ確保、連携する他サービスによる障害時の対応などアプリケーション開発者が考慮する点は多岐にわたります。これらの課題をConsulのサービスメッシュ機能が一括して解決し、アプリケーション開発者がビジネスロジックの開発に専念できるようになります。

Intentionsを使ったセキュリティポリシー

Intentionsを利用したConsulのFirewall機能の例
Intentionsを利用したConsulのFirewall機能の例

Service Segmentation

Sidecarプロキシでアプリケーションに透過的な通信暗号化を実現。ACL機能に加えて、mTLSや証明書発行等の機能を包括的に提供します。

Service Segmentation

各アプリケーションはSidecarプロキシを利用することでUpstream先のサービスとmTLS通信を実現します。また Intentionsの設定で認証されたサービスベースのmTLSが可能となり、IPスプーフィングを回避します。

Pluggable Sidecar Proxy

  • Envoy
  • Consul Built-in Proxy
  • Custom Proxy

Built-in CA

  • ConsulがCAとなり自ら証明書の発行が可能
  • VaultなどをCAとして利用することも可能

Layer 7 Traffic Management

HTTPのパス、パラメータやヘッダーなどを使って重み付けルーティングなど高度なトラフィック制御を実現します。

Layer 7 Traffic Management Layer 7 Traffic Management

ロードバランサやルータなどは不要

Service Routing

  • Pathベースのトラフィックルーティング

Service Splitting

  • 重み付けルーティング

Service Resolver

  • 同一サービスの複数モジュールをサブセットとして管理

Observability

  • Metrics
  • Access logs
  • Distributed Tracing

Mesh Gateway

複雑な運用や設定なしで透過的にデータセンター間のトラフィックをサービスベースでルーティングします。

Mesh Gateway
  • VPNやネットワークピアリングなどの複雑な運用を行うことなくDC間をつなぐ
  • エッジネットワークにEnvoyを活用し、データセンター間通信をProxing
  • Consul Connect GatewayはVMやコンテナなどにデプロイ可能
  • End-to-end Encryption
  • IntentionsによるFirewall

Consul Enterprise Editionのメリット

Consul OSS版にはなく、商用のEnterprise版のみに実装されている機能は以下のとおりです。

機能名 概要
Automated Backups ConsulエージェントやConsulサーバの設定やメタデータ等の一括バックアップを自動化
Automated Upgrades Consulサーバの無停止ローリングアップデートを自動化
Enhanced Read Scalability 負荷の高い、クラスタ内のリーダーを決めるConsensusには参加せず、リードの処理のみを行うインスタンス(Non-voting server)を用意してスケールアウトさせる
Redundancy Zones Non-voting serverを各AZに構築し、Readの処理を分散しつつ、Voting serverが落ちたらNon-votingをVotingに昇格する
Advanced Federation Datacenter間でのWAN Gossipによるクラスタ間通信をフルメッシュではなく、Hub-and-spokeによるシンプル化
Network Segments 同一のConsulクラスタを利用するサービス間でセグメントを分割し、Consul Agent同士の相互通信を防ぐ
Policy as Code (Sentinel) Sentinelによるポリシーの設定
Namespaces マルチテナンシー対応
HashiCorp Support HashiCorp社によるSLA付きサポート

価格

お客様の環境によって異なりますので、個別にお見積りいたします。お気軽にお問い合わせください。

「HashiCorp Consul」に関するお問い合わせ