米Googleは、eBPFと、LinuxカーネルをeBPFを用いてKubernetesに対応させるオープンソースプロジェクトのCiliumを用いたデータプレーン「GKE Dataplane V2」を、8月20日(現地時間)に公開した。現時点ではベータ版で、Dataplane V2を用いてKubernetesのネットワークポリシーのログを、Google Kubernetes Engine(GKE)に取り入れている。
eBPFは、カーネルの再コンパイルやカーネルモジュールの読み込みなしで、Linuxカーネルでサンドボックスプログラムを実行できるテクノロジー。ネットワーキング、セキュリティ、アプリケーションプロファイリングといった分野でまったく新しいツールの開発を可能にしており、これらのツールはカーネル機能に依存しないことから、実行効率や安全性を犠牲にすることなく、実行時の動作をランタイム化できる。
Ciliumは、コンテナワークロードの新たなスケーラビリティ、セキュリティ、可視性の要件に対応すべく、eBPF上に構築されたオープンソースプロジェクト。従来のContainer Networking Interface(CNI)を超えて、サービスの解決、ポリシーの運用などを提供する。
「GKE Dataplane V2」は、ポリシーのロギングに必要な情報を公開するだけでなく、ユーザーからネットワークポリシー実施の構成を完全に抽象化することが可能であり、ネットワークポリシーの適用を明示的に有効化したり、GKEクラスタでネットワークポリシーを使用するための適切なCNIを選択したりする必要がなくなる。
ネットワークポリシーだけでなく、eBPFを使用してダイレクトサーバリターン(DSR)モードを実装できる。DSRは、Kubernetesロードバランサの使用時にクライアントのIPアドレスを失うというNAT問題の影響を受けず、メタデータをオンザフライでネットワークパケットにエンコードするeBPFの機能によって、宛先ノードに追加情報を提供して、元のクライアントとの直接会話を可能にする。
「GKE Dataplane V2」によるKubernetesネットワークポリシーロギングを使用することによって、許可および拒否されたすべてのネットワーク接続をCloud Loggingコンソールで直接確認して、ポリシーのトラブルシューティングを行うとともに、不規則なネットワークアクティビティを見つけ出せるようになる。
- 関連リンク
この記事は参考になりましたか?
- この記事の著者
-
CodeZine編集部(コードジンヘンシュウブ)
CodeZineは、株式会社翔泳社が運営するソフトウェア開発者向けのWebメディアです。「デベロッパーの成長と課題解決に貢献するメディア」をコンセプトに、現場で役立つ最新情報を日々お届けします。
※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
