BIG-IP Forward Proxyでは標準機能による実装には限界があるため、iRulesによるコード拡張を用いざるを得ないケースがあります。 そのため、PoC (Proof of Concept)としてiRulesによるFirewall Policyライクな実装例をGitHubで公開しました。

github.com

• 実装例の特長
• 3つのスパゲッティ (スパゲッティ コード, スパゲッティ ロジック, スパゲッティ データ)
• 理想案と妥協案

実装例の特長

PoC (Proof of Concept)と強調しているように、本番環境での実用に耐えうるレベルの実装にはなっておりません。 あくまでもコンセプトの実証のために公開しました。

BIG-IP Forward Proxyでは開発者自らが定義した設定データの保持先として、KVS (Key-Value Store)のData Groupしか実質的な選択肢がない実情があります。 そして、Data Groupに設定データを保持すると、Forward Proxy構成の実装方法によってはData Group数が肥大化していく問題がありました。 そのため、管理対象であるData Group数を少なくして、少しでも運用面が楽になる方法がないかと思案したのが筆者の実装方法です。

Data GroupのKeyを処理順序が一意になるような制御に用い、Valueを複数のフィールドに分けてFirewall Policyのような複数要素を参照できる実装にしました。

なお、Data Groupに設定データを保持する問題に関しては、下記の記事にて詳しく記載しております。

myhomenwlab.hatenablog.com

実際のコードを見て頂くと分かりやすいですが、Forward Proxyが担うアクセス制御の主要機能の多くをコード拡張によって実現しているため、皮肉にもSoftware Defined Forward Proxy (SDFP)とでも表現すべき実装者依存の状態になっています。 アプライアンス製品であるのにも関わらず、その実装方法の多くがコード拡張を用いているとなると品質の維持が難しくなります。 また、業界トップレベルの多機能さを誇るProxySGからの移行だと、大半がiRulesによる実装になります。

3つのスパゲッティ (スパゲッティ コード, スパゲッティ ロジック, スパゲッティ データ)

BIG-IP Forward Proxyでのコード拡張の実装を複雑化している要素として、スパゲッティ コード , スパゲッティ ロジック , スパゲッティ データの3つのスパゲッティがあります。

• スパゲッティ コードは、複雑なロジックを実装したiRulesの実装コードを指します。
• スパゲッティ ロジックは、機能アクセスの制約故に複雑化したロジックを指します。
• スパゲッティ データは、設定データの保持構造を無理やりにData Groupで実装して複雑化したものを指します。

まず前提としてセキュリティ上の理由により、実装時の肝となるiRulesコマンドからのOSに紐付く機能アクセスは限定されます。そして、機能アクセスの範囲に制約がかかると実装可能なロジックの案が限定されます。 ロジックの案が限定されるとコードでの実装方法も限定されてループしているかのように相互影響して、スパゲッティ コードとスパゲッティ ロジックが生み出されるキッカケとなります。

補足ですが実装時に利用可能なiRulesコマンドは Master list of iRule Commands のリストにあるものとなります。

clouddocs.f5.com

更に、BIG-IP Forward Proxyで設定データの格納に採用可能な機能が、KVS (Key-Value Store)のData Groupしか実質的にないため、データの保持構造が複雑化してスパゲッティ データが生み出されます。 例えば、KVSのData Groupで疑似的なRDB (Relational DB)のデータ構造を無理やりに再現する複雑なやり方があります。 そして、データの保持構造が複雑化が、データ処理のロジックとコードからデータへのアクセスを複雑化してしまい悪影響のスパイラルに陥ります。

このように、3つのスパゲッティがお互いに調和して、熟練のエンジニアさえ手につけようのない巨大なスパゲッティに変貌を遂げます。

なお、リファクタリングはスパゲッティ コードに対しては効果を期待できますが、コード化の元になっているロジックとデータがスパゲッティとなっているので根本的な解決にはなり得ません。 ちなみに、筆者の実装案はスパゲッティ データの複雑性の低減に注力したものです。

理想案と妥協案

注記しますが、筆者の実装案は妥協案であり、理想的な実装案ではありません。 いくつもの実装案を考案しては機能制約のため実現性がなく廃案となり、その中で妥協案として生き残ったものをPoCレベルで実装しました。 裏を返せば、それだけBIG-IP Forward ProxyでiRulesによる実装を行うのが難しいと言えます。

筆者の意図しては、BIG-IP Forward Proxyへの移行や、案件の請負検討にあたり、参考例とするために公開しております。 繰り返しますが、本番環境にそのまま導入しようと考えないでください。筆者はコードに対してサポートを提供しませんし、何ならサポートを求めるスキル レベルであれば導入すべきではありません。

筆者はBIG-IP Forward Proxyの導入がより良いものになるように試行錯誤を繰り返しましたが、3つのスパゲッティが実装の難易度を異様なほど高くしているため、無理な導入が行われないように問題点を理論的に解説するために本記事を書きました。

Datadogの使い方を学ぶ一例として、Merakiのイベント ログ種別ごとの比率を割り出す手順を書き留めます。
自環境でどのようなイベント ログの種別が多いのかを大まかに把握するのを目的にしています。

手順

• メニュー: Logs > Search を開きます。Search for の検索ボックスに source:meraki (表示上: Source:meraki) と入力し、Merakiのログを検索対象にします。ログの検索期間は適宜変更してください。

  

  

• Visual as から Pie Chart を指定して、円グラフ (Pie Chart)が表示されるのを確認します。

  

• イベント種別ごとにグルーピングして、ログのカウント数を割り出したいため、By を Event Name (@evt.name) に指定します。

  

• 画面右下に @EVT.NAME としてイベント ログの種別が表示されるのを確認します。

  

• デフォルトでは上位 (1位から10位まで)のイベント ログ種別しか表示されていないため、limit to で top (上位)から何位まで表示するかを適宜指定します。

  

• limit to を変更した場合は、必要な数のイベント ログ種別が表示されたのを確認します。

  

筆者の環境の例

• 筆者の環境では意図的にMeraki MXのセキュリティ機能で通信を検知させているため、Events dropped の出力数が異様なほど多くなっております。

  

  なお、検知テストの方法に関しては、下記の記事を参考にしてください。

  myhomenwlab.hatenablog.com

  myhomenwlab.hatenablog.com

• Meraki Dashboard上でSecurity Centerを見ると、一日当たりの検知件数が1万 (10,000)件を超えてる日が多いのが分かります。

  

• Event log 上ではセキュリティ機能での検知対象となった通信が多いため Events dropped で定期的にドロップしているように見受けられます。そのため筆者の環境で Events dropped の比率が最も高かったのは想定内となりました。

関連記事

myhomenwlab.hatenablog.com

ThousandEyesで新しいAccount Groupを作成して切り替える[移動する]一連の手順を紹介します。
注意点ですが、新しく作成されたAccount Groupへ切り替えるためのポップアップ メニューを表示するには、一度ログアウトしてから再度ログインする必要があります。
また、ログイン時のデフォルトのAccount Groupを指定するための設定 (Login Account Group)もあります。

• 設定手順
  • 設定概要
  • 現状のAccount Groupの確認
  • 新しいAccount Groupの作成と確認
  • Account Groupの切り替えが表示されない状態 (ログアウト前)
  • Account Groupの切り替えが表示される状態 (再ログイン後)
  • Account Groupの切り替え後 (例: SampleCorp => ExampleCorp)
  • ログイン時のデフォルトのAccount Groupの設定 (Login Account Group)

設定手順

設定概要

本記事の例では、現状で所属しているAccount Groupが SampleCorp の状態で、新たに ExampleCorp を作成してAccount Groupを切り替えます。
補足ですが、「切り替え」は設定対象のAccount Groupを移動するニュアンスで用いています。 そのため、対象Account自体は SampleCorp と ExampleCorp に所属するようになっています。(所属対象のAccount Groupから SampleCorp の割り当てを外して、ExampleCorp を新たに割り当てるのではありません。)

そして最後に、ログイン時のデフォルトのAccount Groupを指定する方法を確認します。

現状のAccount Groupの確認

• メニュー: Account Settings > User and Roles の Account Groups タブを表示して、現状で存在するAccount Groupを確認します。また、画面右上のAccountの情報を見ると現在のAccount Groupを確認できます。

  

新しいAccount Groupの作成と確認

• Account Groups タブの画面から New Account Group ボタンを押下します。

  

• Account Group Name に任意の名称をつけます。Enterprise Agent は必要に応じて割り当ててください。

  

• 新しいAcount Groupが作成されたのを確認します。

  

Account Groupの切り替えが表示されない状態 (ログアウト前)

• 画面右上のAccountを押下してサブ メニューを表示します。ログアウト前では Current Account Group の項目で、Account Groupの切り替えができなくなっています。

  

Account Groupの切り替えが表示される状態 (再ログイン後)

• 再ログイン後に、画面右上のAccountを押下してサブ メニューを表示します。再ログインすると Current Account Group の項目のポップアップ メニューが表示されてAccount Groupの切り替えが行えるようになっています。

  

Account Groupの切り替え後 (例: SampleCorp => ExampleCorp)

• 実際にAccoount Groupの切り替えができるか試してみましょう。

  

ログイン時のデフォルトのAccount Groupの設定 (Login Account Group)

• ログイン時のデフォルトのAccount Groupを変更したい際は、メニュー: Account Settings > User and Roles の Profile タブを表示して、Login Account Group の項目をログイン対象のAcount Groupに指定します。

  

Merakiの各製品のFirmwareのRelease Notesは、Meraki Dashboardのメニュー: Organization > Firmware upgrades が一次情報源になります。

Release Notesの情報には、主に下記の観点が含まれています。

• Important notice
• Legacy products notice
• Bug fixes
• Known issues

また、古すぎるVersionの情報には遡れません。

補足

Merakiはクラウド管理型の製品であるため日々改修されていきます。 それを過去の情報にまで遡って、追及するような厳格なビジネス要求があるような環境にMerakiの導入は不向きです。

なお、Release Notesの書いてある以上の情報をサポートに問い合わせても、公開可能な詳細情報がない場合があります。 筆者は本記事の執筆時点 (2022年08月頃)で1回ほど「Meraki MXの安定性の向上はどの点が改修されてるのか？」を問い合わせた経験がありますが、Release Notes以上の公開情報はありませんでした。

筆者の主観が混じりますが、Merakiはシンプルさを実現するために、良い意味でも悪い意味でもアバウト (大雑把)な側面が見受けられます。 良く言えばアバウトさがあるからこそ、細かいことまでチューニングせずに大規模展開しやすい利点が生まれています。 また悪く言えば、アバウトさと対局に位置するような細かい要件がある環境にMerakiを導入しようとしてクレームに発展するのを見かけます。

そのアバウトさがRelease Notesにも反映されているように見受けられます。