NGINX Plus R33 リリースについて

2024年11月19日に NGINX Plus Release 33 (R33) がリリースされましたので更新内容をまとめてみました。

こんにちは。 narai です。みなさん NGINX 使ってますか？
さて、2024年 11月 19日に NGINX Plus の最新版 (R33) がリリースされましたので、追加された機能をまとめてみました。

なお、R33 には以下のライセンス関係の重要な変更が含まれております。
インストールやバージョンアップ前に準備が必要となりますので、ご注意ください。

ライセンス関係の重要な変更

NGINX Plus インスタンスのライセンス検証機能が追加されました
NGINX Plus インスタンスの使用状況をレポート送信する機能が追加されました

サポートOS について

NGINX Plus R33 でサポートされているディストリビューションは以下の通りです。

AlmaLinux 8, 9
Alpine Linux 3.17, 3.18, 3.19, 3.20
Amazon Linux 2 LTS, 2023
Debian 11, 12
FreeBSD 13, 14
Oracle Linux 8.1+, 9
RHEL 8.1+, 9.0+
Rocky Linux 8, 9
SUSE Linux Enterprise Server 12, 15 SP5+
Ubuntu 20.04 LTS, 22.04 LTS, 24.04 LTS

R32 からの変更点としては、Alpine Linux 3.20 がサポート対象となりました。一方で、CentOS や RHEL や Oracle Linux の 7.x がサポート対象となっております。
RedHat 系の 7.x をご利用されている場合、OS をバージョンアップしてから NGINX Plus をバージョンアップしていただけますようお願いいたします。

重要な変更点

NGINX Plus R33 の主な新機能と強化された機能は以下の通りです。

ライセンス関係の重要な変更
Stream Module での OCSP クライアント検証サポート
NGINX Plus のコンテナイメージ公開

また、以下の機能は削除/廃止されますので、ご利用されている方はご注意ください。

OpenTracing モジュール
R34 で削除される予定です。
メトリクス取得には OpenTelemetry モジュールをご利用ください。

その他の変更点につきましては、こちらをご確認ください。

ライセンス関係の重要な変更について

本バージョンアップより、以下の機能が追加されております。

NGINX Plus インスタンスのライセンス検証機能
NGINX Plus インスタンスの使用状況をレポート送信する機能

本ブログでは、機能の概要を記載いたします。
具体的な対応手順は、以下のメーカーマニュアルを参照してください。
https://docs.nginx.com/solutions/about-subscription-licenses/

NGINX Plus インスタンスのライセンス検証機能

R33 以降、NGINX Process の起動時にライセンスファイル(license.jwt)を確認するようになりました。
そのため、あらかじめ license.jwt ファイルを /etc/nginx 配下にコピーしておいてください。(※Linux OS の場合)
なお、license.jwt は Myf5 の Subscription からダウンロードすることができます。

# cat /etc/nginx/license.jwt 
eyJhbGciOiJSUzUxMiIsInR5cCI6IkpXVCIsImtpZCI6InYxIiwiamt1
IjoiaHR0cHM6Ly9wcm9kdWN0LmFwaXMuZjUuY29tL2VlL3YxL2tleXMv
andrcyJ9.eyJzdWIiOiJGTkktZDU1ZWUwNTEtY2EyNC00YmZkLWFkOWY
tN2ZiNWUwY2FiM2U2IiwiaWF0IjoxNzMxMjkzMTIxLCJpc3MiOiJGNSB
<省略>

有効なライセンスが確認できない(以下を満たしている)場合、NGINX Process が立ち上がりませんのでご注意ください。

/etc/nginx/license.jwt ファイルが存在しない
license.jwt ファイル内の有効期限から90日以上経過している

license.jwt ファイル内の有効期限を超過した場合でも、90日間は影響ございませんので、この間に、license.jwtファイルを更新してください。

NGINX Plus インスタンスの使用状況をレポート送信する機能

定期的に NGINX Plus インスタンスの使用状況をレポートする機能が追加されました。
本機能は自動的に有効となり、NGINX Process が起動している限り、定期的にライセンスエンドポイント(product.connect.nginx.com)にレポートが送信されます。
そのため、あらかじめ NGINX Plus インスタンスからライセンスエンドポイントへ TCP 443 でアクセスできるようネットワークを構成してください。
なお、NGINX Plus インスタンスがインターネットへ抜けられない場合、NGINX Instance Manager にレポート送信するよう変更できます。

レポート送信ができない(以下を満たしている)場合、NGINX Plus インスタンスはトラフィックの処理を停止します。

NGINX Plus インスタンス起動後、最初のレポート送信が失敗した場合
最初のレポート送信が成功した後、定期的なレポート送信に失敗してから 180日以上経過した場合

定期的なレポート送信が失敗した場合でも、180日以内に復旧(レポート送信が成功)すれば問題なく、この期間中 NGINX Plus を再起動してもトラフィック処理が停止することはございません

Stream Module での OCSP クライアント検証サポート

これまでは、http モジュールのみ対応していましたが、R33 から stream モジュールでも、クライアント証明書検証に OCSP を利用することができるようになりました。
合わせて、OCSP Stapling にも対応しました。

stream にて OCSP によるクライアント証明書認証を行う場合は、ssl_ocsp および ssl_ocsp_responder ディレクティブを使用します。
以下に設定のサンプルを記載します。

server {
    listen 443 ssl;
    server_name "";

    ssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3; 
    ssl_certificate /etc/nginx/conf.d/ssl/server.crt; 
    ssl_certificate_key /etc/nginx/conf.d/ssl/server.key;

    ssl_verify_client on;
    ssl_client_certificate /etc/nginx/conf.d/ssl/ca.crt;
    ssl_ocsp on;
    ssl_ocsp_responder http://test-ocsp:8888;

    proxy_pass backend;
}

NGINX Plus の公式コンテナイメージ公開

※ 本項目は R32 で追加された機能となります

F5 NGINX の Docker レジストリ(private-registry.nginx.com)に NGINX Plus のイメージファイルが公開されました。
これにより、DokcerFile を作成せずともイメージファイルを指定するだけで、NGINX Plus の Deploy が可能となりました。

オプションでは、NGINX Agent のインストールや特権ユーザー(root)を使用しない等を選択することができます。

具体的なデプロイ手順はこちらを参照ください