eBPFは、カーネルの再コンパイルやカーネルモジュールの読み込みなしで、Linuxカーネルでサンドボックスプログラムを実行できるテクノロジー。ネットワーキング、セキュリティ、アプリケーションプロファイリングといった分野でまったく新しいツールの開発を可能にしており、これらのツールはカーネル機能に依存しないことから、実行効率や安全性を犠牲にすることなく、実行時の動作をランタイム化できる。
Ciliumは、コンテナワークロードの新たなスケーラビリティ、セキュリティ、可視性の要件に対応すべく、eBPF上に構築されたオープンソースプロジェクト。従来のContainer Networking Interface(CNI)を超えて、サービスの解決、ポリシーの運用などを提供する。
「GKE Dataplane V2」は、ポリシーのロギングに必要な情報を公開するだけでなく、ユーザーからネットワークポリシー実施の構成を完全に抽象化することが可能であり、ネットワークポリシーの適用を明示的に有効化したり、GKEクラスタでネットワークポリシーを使用するための適切なCNIを選択したりする必要がなくなる。
ネットワークポリシーだけでなく、eBPFを使用してダイレクトサーバリターン(DSR)モードを実装できる。DSRは、Kubernetesロードバランサの使用時にクライアントのIPアドレスを失うというNAT問題の影響を受けず、メタデータをオンザフライでネットワークパケットにエンコードするeBPFの機能によって、宛先ノードに追加情報を提供して、元のクライアントとの直接会話を可能にする。
「GKE Dataplane V2」によるKubernetesネットワークポリシーロギングを使用することによって、許可および拒否されたすべてのネットワーク接続をCloud Loggingコンソールで直接確認して、ポリシーのトラブルシューティングを行うとともに、不規則なネットワークアクティビティを見つけ出せるようになる。