SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

CodeZine編集部では、現場で活躍するデベロッパーをスターにするためのカンファレンス「Developers Summit」や、エンジニアの生きざまをブーストするためのイベント「Developers Boost」など、さまざまなカンファレンスを企画・運営しています。

CodeZineニュース

「GKE Dataplane V2」公開、eBPFとCiliumの採用によりセキュリティと可視性が向上

  • X ポスト
  • このエントリーをはてなブックマークに追加

  • X ポスト
  • このエントリーをはてなブックマークに追加

 米Googleは、eBPFと、LinuxカーネルをeBPFを用いてKubernetesに対応させるオープンソースプロジェクトのCiliumを用いたデータプレーン「GKE Dataplane V2」を、8月20日(現地時間)に公開した。現時点ではベータ版で、Dataplane V2を用いてKubernetesのネットワークポリシーのログを、Google Kubernetes Engine(GKE)に取り入れている。

 eBPFは、カーネルの再コンパイルやカーネルモジュールの読み込みなしで、Linuxカーネルでサンドボックスプログラムを実行できるテクノロジー。ネットワーキング、セキュリティ、アプリケーションプロファイリングといった分野でまったく新しいツールの開発を可能にしており、これらのツールはカーネル機能に依存しないことから、実行効率や安全性を犠牲にすることなく、実行時の動作をランタイム化できる。

 Ciliumは、コンテナワークロードの新たなスケーラビリティ、セキュリティ、可視性の要件に対応すべく、eBPF上に構築されたオープンソースプロジェクト。従来のContainer Networking Interface(CNI)を超えて、サービスの解決、ポリシーの運用などを提供する。

 「GKE Dataplane V2」は、ポリシーのロギングに必要な情報を公開するだけでなく、ユーザーからネットワークポリシー実施の構成を完全に抽象化することが可能であり、ネットワークポリシーの適用を明示的に有効化したり、GKEクラスタでネットワークポリシーを使用するための適切なCNIを選択したりする必要がなくなる。

 ネットワークポリシーだけでなく、eBPFを使用してダイレクトサーバリターン(DSR)モードを実装できる。DSRは、Kubernetesロードバランサの使用時にクライアントのIPアドレスを失うというNAT問題の影響を受けず、メタデータをオンザフライでネットワークパケットにエンコードするeBPFの機能によって、宛先ノードに追加情報を提供して、元のクライアントとの直接会話を可能にする。

 「GKE Dataplane V2」によるKubernetesネットワークポリシーロギングを使用することによって、許可および拒否されたすべてのネットワーク接続をCloud Loggingコンソールで直接確認して、ポリシーのトラブルシューティングを行うとともに、不規則なネットワークアクティビティを見つけ出せるようになる。

関連リンク

この記事は参考になりましたか?

  • X ポスト
  • このエントリーをはてなブックマークに追加
この記事の著者

CodeZine編集部(コードジンヘンシュウブ)

CodeZineは、株式会社翔泳社が運営するソフトウェア開発者向けのWebメディアです。「デベロッパーの成長と課題解決に貢献するメディア」をコンセプトに、現場で役立つ最新情報を日々お届けします。

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

  • X ポスト
  • このエントリーをはてなブックマークに追加
CodeZine(コードジン)
https://codezine.jp/article/detail/12768 2020/08/26 12:00

おすすめ

アクセスランキング

アクセスランキング

イベント

CodeZine編集部では、現場で活躍するデベロッパーをスターにするためのカンファレンス「Developers Summit」や、エンジニアの生きざまをブーストするためのイベント「Developers Boost」など、さまざまなカンファレンスを企画・運営しています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング