CodeZine(コードジン)

特集ページ一覧

「GKE Dataplane V2」公開、eBPFとCiliumの採用によりセキュリティと可視性が向上

  • LINEで送る
  • このエントリーをはてなブックマークに追加
2020/08/26 12:00

 米Googleは、eBPFと、LinuxカーネルをeBPFを用いてKubernetesに対応させるオープンソースプロジェクトのCiliumを用いたデータプレーン「GKE Dataplane V2」を、8月20日(現地時間)に公開した。現時点ではベータ版で、Dataplane V2を用いてKubernetesのネットワークポリシーのログを、Google Kubernetes Engine(GKE)に取り入れている。

 eBPFは、カーネルの再コンパイルやカーネルモジュールの読み込みなしで、Linuxカーネルでサンドボックスプログラムを実行できるテクノロジー。ネットワーキング、セキュリティ、アプリケーションプロファイリングといった分野でまったく新しいツールの開発を可能にしており、これらのツールはカーネル機能に依存しないことから、実行効率や安全性を犠牲にすることなく、実行時の動作をランタイム化できる。

 Ciliumは、コンテナワークロードの新たなスケーラビリティ、セキュリティ、可視性の要件に対応すべく、eBPF上に構築されたオープンソースプロジェクト。従来のContainer Networking Interface(CNI)を超えて、サービスの解決、ポリシーの運用などを提供する。

 「GKE Dataplane V2」は、ポリシーのロギングに必要な情報を公開するだけでなく、ユーザーからネットワークポリシー実施の構成を完全に抽象化することが可能であり、ネットワークポリシーの適用を明示的に有効化したり、GKEクラスタでネットワークポリシーを使用するための適切なCNIを選択したりする必要がなくなる。

 ネットワークポリシーだけでなく、eBPFを使用してダイレクトサーバリターン(DSR)モードを実装できる。DSRは、Kubernetesロードバランサの使用時にクライアントのIPアドレスを失うというNAT問題の影響を受けず、メタデータをオンザフライでネットワークパケットにエンコードするeBPFの機能によって、宛先ノードに追加情報を提供して、元のクライアントとの直接会話を可能にする。

 「GKE Dataplane V2」によるKubernetesネットワークポリシーロギングを使用することによって、許可および拒否されたすべてのネットワーク接続をCloud Loggingコンソールで直接確認して、ポリシーのトラブルシューティングを行うとともに、不規則なネットワークアクティビティを見つけ出せるようになる。

関連リンク

  • LINEで送る
  • このエントリーをはてなブックマークに追加

あなたにオススメ

All contents copyright © 2005-2021 Shoeisha Co., Ltd. All rights reserved. ver.1.5