NGINXが提供するMicroservices June 2022は、2022年6月の一ヶ月間、Microserviceに関連する知識を基礎から学び高めていくことを目的とした無料のトレーニングプログラムです。今年のテーマは、”Kubernetes ネットワーキング”。6月の1週目から4回に渡り、基礎から高度な設定までを解説した、ウェビナー／技術ブログ／ハンズオンデモの豊富なコンテンツをセットにして、毎週お届けします。

NGINX Ingress Controllerとコミュニティ版Ingress Controller（NGINXオープンソースをベースにした他のIngress Controllerも同様）の主な違いは、その開発とデプロイメントモデルで、これは異なるゴールと優先順位に基づいています。ここでは、Ingress Controllerの選択ガイドとして、２つの違いを解説します。

Ingress Controllerはオープンソース、デフォルト、商用の3つのカテゴリに分類されます。それぞれにユースケースがあり、短期的、長期的なニーズを明確にした上で選択することが重要になります。このブログでは、それぞれのカテゴリの長所と短所を取り上げます。

Kubernetesのトラフィックを制御するツールを導入する際に考慮すべき具体的なリスクは、「複雑さ」「レイテンシー」「セキュリティ」の3つです。
間違ったIngress Controllerを選択した場合、リリース速度が遅くなりユーザー損失を招く恐れもあります。ここでは、Ingress Controllerがもたらすリスクの観点から正しく選ぶコツを解説します。

規模が大きくなるにつれて、Ingress Controllerの選択はより重要になります。それは、トラフィックを A 地点から B 地点に移動させるという基本的な機能以上のものを提供できるからです。高度なトラフィック管理から、組み込みのセキュリティの可視化まで、Ingress ControllerはKubernetesスタックの中で最も強力なツールの1つになり得ます。

この記事では、Kubernetesのトラフィックを制御するツールで解決できる6つのセキュリティユースケースを取り上げ、SecOpsがDevOpsやNetOpsと連携して、クラウドネイティブアプリやAPIをよりよく保護できる手法を紹介します。

マイクロサービスの導入によりデジタルエクスペリエンスの強化を促進できる一方、構築の仕方によっては、非効率なトラブルシューティングや本来は回避可能であった問題の対処によって時間を浪費するリスクが高まる可能性もあります。プロダクショングレードに移行するためには、トラフィックを可視化するコンポーネントによって、どのようにマイクロサービス環境の複雑さを軽減し、セキュリティを向上させることができるのかが重要です。

ゼロトラストは、クラウド・ネイティブ・アプリケーションやインフラにとって特に重要です。疎結合でポータブルなクラウドネイティブアプリは、コンテナで実行され、必要に応じて場所や状態を変更するように設計されています。本ブログでは、なぜゼロトラストが必要なのか、また、Kubernetes環境でゼロトラストを導入するための7つのガイドラインを解説します。

悪意のあるリクエストであるかどうかに関わらず、大量のHTTPリクエストは、サービスに負荷をかけ、アプリケーションを停止させる可能性があります。この問題を簡単に解決する方法の一つとして「レート制限」があります。
本ブログでは、Kubernetes環境でのレート制限について、NGINXサービスメッシュによるレートリミットの設定デモをご覧いただきながら、レート制限ポリシーの適用などを解説していきます。

このブログでは、NGINX PlusベースのNGINX Ingress ControllerがOIDCのRelaying Partyとして動作し、事前に設定したOktaをIDプロバイダー（IdP）と連携させたOIDC Authorization Code Flowをサポートする本格的なSSOソリューションの実装方法を紹介します。

APIゲートウェイ、Ingressコントローラー、サービスメッシュは、それぞれプロキシとして機能し、トラフィックを取り込み、またシステム内の制御を行うために設計されています。このブログでは、これらの３つの違いと、Kubernetesに特化したAPIゲートウェイのユースケースにどれを使うべきかを取り上げ、解説します。

NGINXオープンソースでは、TLSをカーネルにオフロードすることをサポートしています。NGINX 1.21.4では、SSL_sendfile()で静的ファイルを配信する際にkTLSのサポートを導入しており、パフォーマンスを大幅に向上させることができます。
このブログでは、どのオペレーティングシステムとOpenSSLのバージョンがkTLSをサポートしているかを詳しく説明し、kTLS用にカーネルとNGINXを構築し設定する方法を紹介します。

NGINX は、NGINX Controller Application Delivery Module (ADM) の新バージョンをリリースし、NGINX Plus のデプロイとそれらがサポートするアプリケーションのための強力なガバナンス、観測性、シンプルな運用プラットフォームとする製品を劇的に進化させました。このブログでは、アプリケーションの可用性、安全性、および最適なパフォーマンスを維持するために役立つ、各リリースのハイライトを紹介します。

Red Hat OpenShift Container Platform (OCP) は、最も人気のあるマネージド Kubernetes プラットフォームの 1 一つで、デフォルトのトラフィック管理ツールOCP Router （HAProxyベース）が用意されています。
OCP Routerが無料で利用できるのに、なぜOpenShiftでNGINX Ingress Controllerを使う必要があるのか？OpenShiftでエンタープライズグレードのIngress Controllerが必要な理由は？にお答えするため、本ブログでは、動的な性能テストの結果とともに解説します。

Kubernetesの可視性を向上させるには、アプリのパフォーマンス、セキュリティ、可用性を可視化し、洞察を得ることが重要です。 ロードバランサー、リバースプロキシ、APIゲートウェイ、Ingressコントローラなどのトラフィック管理ツールは、アプリとインフラの健全性に関する豊富な情報を生成します。NGINX Plusのダッシュボードではこれらのメトリクスをリアルタイムで追跡できます。また、NGINX Plusはサードパーティの監視ツールにメトリクスを送り、時系列のパフォーマンスの視覚化しさらなる洞察を得ることができます。最も人気のある2つのツールPrometheusとGrafanaとの連携を見てみましょう。

Ingress Controllerとして多くのエンジニアに利用されているNGINX。そしてNGINX App Protectというモジュールを使うことで、WAF機能を搭載したIngress Controllerを利用することができるようになります。慣れ親しんだNGINXの設定ファイルからWAF機能をオンにし、セキュリティポリシーを1つのKubernetesリソースとして管理できることで「セキュアコーディングのツール」としてWAFを扱うことができるようになります。

Javaベースのロギングライブラリである「Apache Log4j」の脆弱性への対応として、NGINXを用いたlog4jの脆弱性(CVE-2021-44228)の対策について解説します。

NGINX App Protect DoSソリューションは、アプリケーションリソースに負荷をかけるレイヤー7攻撃に特化しています。NGINXのWAFとレイヤ7のDoSソリューションを組み合わせることで、アプリケーションが脆弱性の悪用とビジネスロジックの悪用の両方から保護され、遅延、劣化、ダウンタイムだけでなく、危険性も防ぐことができます。

最近では、APIへの攻撃という形のセキュリティ侵害が増えています。 APIを保護する機能（レート制限、認証とアクセス許可など）を提供するNGINX Controller API Managementと、あらゆる環境に対応する分散型APIセキュリティを提供するNGINX Controller App Securityで、強固にAPIを保護する方法を解説します。

NGINX Plus Release 25 (R25)の提供を開始することをお知らせします。
「より高度なJSON Web Tokenの使用例の追加」、「HTTPレスポンスコードのより詳細なレポート」、「ロキシ接続のための動的なSSL/TLSクライアント証明書のロード」、「HTTPリクエスト処理のセキュリティ強化」、「リロード時のTCP/UDPアプリケーションに対するヘルスチェックのステータスの保持」など、NGINX Plus R25で追加された新機能をご説明します。

NGINX App Protect WAFとNGINX Controller App Securityは、「F5 Advanced WAF」や「F5 Silverline WAF」など、F5のセキュリティソリューションと同じWebアプリケーション ファイアウォール（WAF）技術を採用しています。アプリケーションデリバリーモジュールで提供するNGINX Controller App Securityでは、OWASPトップ10やその他の脅威からの保護に焦点を当て、誤検知を最小限に抑えるデフォルトのポリシーをご利用いただけます。Version3.20のアプリケーションデリバリーモジュールでは、カスタムのNGINX App Protect WAFポリシーをインポートして、管理しているすべてのデプロイメントに配布することができます。

このブログでは、トラフィック制御とトラフィック分割（レート制限、サーキットブレーカー、デバッグルーティング、A/Bテスト、カナリア・ブルーグリーンデプロイメント）などの高度なトラフィック管理によって、セキュアで堅牢なKubernetesアプリケーションの構築を実現する方法、そしてNGINXがこれらをどう実現するかについて紹介します。

Kubernetesが非常に優れたプラットフォームであることは既にご存じかと思います。本ブログでは、コンテナ管理プラットフォームであるSUSE-RancherとNGINX Ingress Controller, NGINX App Protectとの連携による、コンテナアプリケーションのセキュリティ・スケーリングの強化についてご紹介します。

近年、アプリケーションのマイクロサービス化やコンテナ化が進むのに伴い、サービスメッシュの導入も検討段階から本格採用へとステージが進みつつあります。CloudNative Computing Foundationの2020年調査レポートで報告されているクラウドネイティブ技術に関する現状や動向などをもとに、本ブログではサービスメッシュの選び方、NGINXの活用の仕方についてご説明します。

NGINX Instance Managerは、すべてのインスタンスを把握し、それらが最新の構成、セキュリティ設定になっているかを容易に確認することができます。NGINXをすでによくご存じの方や活用されているアプリケーションの開発者やDevOpsチームに最適な管理ツールです。この記事では、NGINX Instance Managerがどのように便利な機能性を備えているか解説していきます。

NGINX Plusは、オープンソース版のNGINXに様々な機能を拡張し搭載した商用版ソフトウェアです。本特集では、NGINX（オープンソース版）とNGINX Plusの違いなど、そもそもNGINXがどのようなソフトウェアであるのか機能差を実際の設定例とともに紹介していきます。

NGINXは、コンテナ領域で多く利用され、特にKubernetesにおけるRed HatのOpenShiftとは親和性が高く、外部アクセスを管理するIngress Controllerやコンテナ領域でのセキュリティ強化において連携しています。その効果をご紹介します。

NGINX Plusの最新バージョン23（R23）がこの度リリースされました。NGINX Plusは、NGINXオープンソースに基づいており、ソフトウェアロードバランサー、リバースプロキシ、およびAPIゲートウェイを提供する唯一の製品です。

NGINX Plusをデータプレーンとして利用してKubernetes環境のコンテナトラフィックを管理する、完全統合型の軽量サービスメッシュ「NGINX Service Mesh（NSM）」の開発版を発表します。NSMは現在無料でダウンロードできますので、開発・テスト環境で、ぜひNSMをお試しください。皆様からのGitHubへのフィードバック投稿をお待ちしています。

【NGINX技術ブログ】Kubernetes は、コンテナアプリケーションの本番導入において優れた実績を持つ高性能なプラットフォームです。本ブログではKubernetesにおいてサービスメッシュが必要な理由を解説します。

Internal APIs are the real powerhouse of the API economy. We review some of their key benefits (efficiency and cost savings among them) and outline best practices, which include using an API management solution and high-performance API gateways, and decoupling the control and data planes.

We discuss how you can use a DNS service like F5 DNS Load Balancer Cloud service to implement three methods for seamlessly and safely deploying application updates to production environments: blue-green, rolling blue-green, and canary releases.

F5 Essential App Protect is a simple, pay-as-you-go, SaaS-based security service for securing apps proxied by NGINX and NGINX Plus. Based on F5’s 20+ years of app security expertise, it's a DevOps-ready service that protects against the security threats faced by modern apps.

We explain how to run NGINX Plus in compliance with the FIPS 140-2 Security Requirements for Cryptographic Modules standard, which specifies the cryptographic protocols that are accepted by the U.S. Federal government and many other organizations.

With the Fortanix Self-Defending Key Management Service, you can offload TLS crytographic processing from your NGINX and NGINX Plus servers, and safely store your TLS keys for on-demand uploading into the NGINX Plus key-value store. We provide complete instructions for both use cases.

NGINX Controller 3.7 introduces some major enhancements. The API definition workflow is redesigned to extend Controller’s app‑centric model to the API Management Module. The Developer Portal is generally available. And there are new features for easier API management and more security.

We introduce the beta version of the NGINX Controller Data Forwarder, with an integration for Splunk. You create a single configuration in one place to capture enhanced data from all of your NGINX Plus instances and feed it to the monitoring infrastructure you've already invested in.

Save the dates for NGINX Sprint 2020, our virtual user event coming September 15–17. Join us Day 1 for product news, customer stories, and insights from a surprise guest. Day 2 we demo how to build an app infrastructure in just 90 minutes. Day 3 we select the winner of our NGINX for Good Hackathon – it could be you!

NGINX Unit 1.18.0 introduces filesystem isolation, the 'target' option to reduce redundancy in PHP app configuration, and URL encoding. It also includes features introduced in NGINX Unit 1.17.0: redirects, and fractional server weights for traffic distribution in upstream groups.

Complying with the PCI DSS standard for protecting credit card transactions is one of the biggest challenges facing modern applications. NGINX App Protect secures your websites and apps against all PCI DSS vulnerabilities, the OWASP Top 10, and more.

The overall solution to security can be complicated, but the most important piece of the puzzle is a web application firewall (WAF).

NGINX Plus R22 introduces new features including support for OCSP to verify certificate revocation for mutual TLS, use of multiple OIDC IdPs in a configuration, real-time tracking of request and connection limiting on the NGINX Plus dashboard, and NGINX JavaScript enhancements.

We announce the latest branches of NGINX Open Source, the stable 1.18 branch and the mainline 1.19 branch. New to the stable branch are dry-run mode for request rate and connection limiting; protection against timing attacks; more support for variable parameters, and more.

We show how easy it is to increase your application’s availability with F5 DNS Load Balancer Cloud Service performing global server load balancing of NGINX Plus instances that are reverse proxying your applications in multiple cloud regions and locations around the world.

We show how to build an application stack with NGINX Unit, enabling automated deployment of production environments with custom‑built language runtime versions, libraries, modules, and extensions. The sample app is WordPress deployed in a Docker container.

We show how to automate the promotion of a development environment to production using the Red Hat Ansible collection for NGINX Controller. In the accompanying video, we use all roles in the collection, plus sample playbooks and Ansible Tower workflows.

The NGINX Ingress Operator for OpenShift is a supported and certified mechanism for deploying the NGINX Plus Ingress Controller for Kubernetes alongside the default router in an OpenShift environment, with point-and-click installation and automatic upgrades.

In high-security environments, it's important to store sensitive data like SSL certificate-key pairs in memory only, not on disk. Here we show how to generate ephemeral SSL key pairs using HashiCorp Vault and store them in the in-memory NGINX Plus key-value store.

During the COVID-19 pandemic, remote learning via video has become the new normal for many educational institutions. Here we show how to set up live video streaming using NGINX Open Source and NGINX Plus. Get step-by-step instructions in two embedded video demos.

NGINX Plus R21 is more reliable and secure than ever, importing numerous bug fixes from NGINX Open Source. New variable support in gRPC proxying extends dynamic, API‑driven routing policies to gRPC workloads, and the NGINX JavaScript module has been enhanced, particularly with respect to subrequests.

The NGINX Application Platform accelerates application delivery from code to customer with a comprehensive API delivery solution that spans from creation of API functions through their delivery to end users. Step-by-step instructions for configuring NGINX Controller and NGINX Unit are provided.

In this solution, we use NGINX Plus's active health checks and key-value store to track and store application status across multiple sites, and NGINX JavaScript to update DNS records maintained by BIG-IP DNS and DNS Load Balancer Cloud Service, based on the status information.

The Tala Security Certified Module for NGINX Plus leverages 150+ browser‑native controls to protect websites and apps from critical and growing threats -- such as XSS, Magecart, website supply‑chain attacks, and clickjacking -- without changes to application or client-side code.