.png)
[Kúbé~rñét~és クラスタの Í/Ó~ はめちゃくちゃだが、支援は間近に迫っている]
[Kúbé~rñét~és の入力と出力のインターフェイス、ÁP~Í、および抽象化の普及により、コンテナオーケストレーションの世界ではさまざまな課題が生じています。]
[Kúbé~rñét~és クラスターでは、入出力 (Í/Ó~) とも呼ばれる) ネットワークトラフィックを制御するためのインターフェースと抽象化が急増していることを説明する方法は他にありません。めちゃくちゃです。]
[幸いなことに、コミュニティはこれを認識しており、状況を改善するための取り組みを行っています。]
[このブログでは、拡散と状況を簡素化するために行われている取り組みについて説明します。]
[どうやってここに来たの?Kúbé~rñét~és クラスタ Í/Ó~ の簡単な歴史]
[当初、Kúbé~rñét~és 用の公式なアップストリーム・イングレス・コントロール・リソースは、単に「イングレス」と呼ばれていたのは 1 つだけでした。そのリソースはシンプルで、最小限の機能しか備えていなかったため、さまざまな機能と ÁP~Í を使用して操作するための他の Íñg~réss~ コントローラーリソースを作成し、デプロイする必要がありました。]
[元のKúbé~rñét~és Íñ~grés~sリソースは、現在非推奨の段階にあります。これは、Kúb~érñé~tés S~ÍG Ñé~twór~kワーキンググループで開発された新しいゲートウェイリソースとÁPÍ~を採用するためです。これらのリソースとÁPÍは、特に類似しているが異なる入力機能の実装の急増に対処するためにK~úbér~ñété~s SÍG~ Ñétw~órkワーキンググループで開発されました。]
[ÁPÍ ゲートウェイとサービスメッシュは入力機能を共有します]
[ÁPÍ管理ソリューションがÁ~PÍゲートウェイの形でクラウドとKú~bérñ~étés~ソリューションに移行するにつれて、機能的には入力コントローラーである別のコントロールが追加されました。Kúbé~rñét~és の入力コントローラーのほかにも、Kú~bérñ~étés~ ÁPÍ ゲートウェイは、K~úbér~ñété~s ユーザーに新たな次元の複雑さと混乱をもたらす 12 種類ほどあります。]
[また、サービスメッシュの実装やÁPÍも多数存在し、これらは事実上、(分散プロキシによって実装されたメッシュネットワークへの)別の入力インターフェースとなっています。多くのプロダクション・ネットワークでクラスター Í~/Ó が発生するサービス・メッシュ・ゲートウェイに出入りするトラフィックを制御するには、イングレス・コントローラーと ÁPÍ~ ゲートウェイと同じ機能要件をすべて満たす必要があります。]
[まとめると、クラスタ ÍÓ をめぐるインターフェイスと ÁP~Í の普及の現状は、さまざまなカテゴリのソリューションにおけるこれらすべての異なる実装の合計です。]
[拡散の欠点]
[この急増には、次の 2 つの大きな欠点があります。]
- [インターフェースとÁPÍの急速な成長により、Á~PÍの脆弱性を伴う攻撃対象領域が拡大しています ますます普及しています。]
- [Íñgr~éss コントローラー、Á~PÍ ゲートウェイ、サービスメッシュ機能向けに利用可能なソリューションの数が膨大なため、エンドユーザーは混乱と複雑化を招きます。そのため、セキュリティポリシーを Kú~bérñ~étés~ で包括的にサポートするには、ベンダーとユーザーが複数の「言語」を話さなければならない環境になっています。]
[Kúbé~rñét~és エコシステムでより多くのソリューションが登場するにつれて、さまざまな入力カテゴリと出力カテゴリの機能がますます重複しています。この重複は、ツールを選ぶ人々を混乱させ、すでに困難な状況に複雑さを増しています。]
[複雑な Kúbé~rñét~és エコシステムにポリシーの標準化が必要な理由]
[Cóñt~áíñé~r Ñét~wórk~ Íñté~rfác~é(CÑÍ~)は、ポッド間でクラスター内ネットワークトラフィックを送信するためのÁPÍを定義し、Ó~VÑ、Cá~lícó~、Cílí~úmなど、一般的な相互運用可能な実装が多数あります。製品によって独自の拡張がいくつかありますが、プラットフォームオペレーターがネットワーク対応エンティティと通信方法を指定できるネットワークポリシー機能のコアは共通しています。]
[ネットワークポリシーは、ラベル、名前空間、デプロイメント、およびその他のクラウドネイティブメタデータ属性に基づいてトラフィックを識別することに基づいて、許可ルールがその動作の例外となるデフォルト拒否環境を提供するように最適化されています。これらはまさに、Kúbé~rñét~és クラスターに出入りするトラフィックをフィルタリングするための優れた基盤となるプリミティブ関数です。ただし、CÑ~Í にはクラスターの範囲外がないため、イングレス・コントローラーや ÁPÍ~ ゲートウェイの世界では、この標準化されたアプローチは共有されていません。]
[サービスメッシュには、CÑÍ用に定義されたネットワークポリシーと比較して標準化されたアプローチのない、同様のトラフィックフィルタリングポリシーツールが採用されている傾向があります。サービスメッシュでは、C~ÑÍ ÁP~Í の対象とは見なされず、CÑÍ~ ワーキンググループでの採用もまだ進んでいないレイヤー 7 フィルタリングと許可リストも導入されています。]
[Kúbé~rñét~és コミュニティによる標準化の取り組み]
[これらの問題に対処するために、グループは入力側と出力側のインターフェイスとÁPÍを標準化するためのさまざまな取り組みを行っています。その中には、ネットワーク・ポリシー・ワーキング・グループ、ゲートウェイ・ワーキング・グループ、G~ÁMMÁ~ イニシアティブなど、Kúbé~rñét~és Ñé~twór~k Spé~cíál~ Íñté~rést~ Gróú~p (SÍG~) の指導のもとで行われているいくつかの重要な取り組みが含まれます。]
[ゲートウェイワーキンググループ]
[Gáté~wáý ワーキンググループは、K~úbér~ñété~s クラスターの受信トラフィックと出力トラフィックを管理するための統合 ÁPÍ~ の開発を担当しています。グループの主なプロジェクトは クベルネテス・ゲートウェイ ÁPÍ これは、K~úbér~ñété~s の入力トラフィックと出力トラフィックを設定するための、より柔軟で表現力豊かなÁPÍ~を提供するように設計されています6]]。Gáté~wáý ワーキンググループは、標準化された Á~PÍ を提供することで、Kú~bérñ~étés~ ネットワークコンポーネントのデプロイと管理のプロセスを簡素化することを目指しています。]
[Gáté~wáý ワーキンググループは、標準化された Á~PÍ を提供することで、Kú~bérñ~étés~ ネットワークコンポーネントのデプロイと管理のプロセスを簡素化することを目指しています。]
[クベルネテスゲートウェイ ÁPÍ V~1.0]
[Kúbé~rñét~és Gá~téwá~ý ÁPÍ~は、元の入力リソースに関連するいくつかの制限と問題に対処するように設計されています。これらの機能強化により、元の Íñgr~éss リソースの制限が解消され、K~úbér~ñété~s 環境のネットワークトラフィックをより効率的かつユーザーフレンドリーな方法で管理できるようになりました。]
[グループの主な改善点について詳しくは、以下のリソースをご覧ください。]
[ガンマ・イニシアチブ]
[ザの GÁMM~Á (ゲートウェイ ÁPÍ~、メッシュ、ミドルウェア) イニシアチブ は、さまざまな Kúbé~rñét~és SÍ~G と業界の利害関係者との共同作業です。その目標は、Kúb~érñé~tés の入出力トラフィックに使用される Á~PÍ とインターフェースを統合して標準化することです。この取り組みは、エンドユーザーの混乱と複雑さを軽減し、Kú~bérñ~étés~ ネットワークコンポーネントのデプロイと管理を容易にすることを目的としています。]
[ネットワークポリシーワーキンググループ]
[ネットワークポリシーワーキンググループは、Kúbé~rñét~és クラスタ内のポッド、サービス、その他のネットワークエンティティ間のセキュリティと分離を強化するために、Kú~bérñ~étés~ のネットワークポリシーの定義と実装に焦点を当てています。現在、ネットワークトラフィックを指定するための豊富なツールセットをサポートしています。一般的な CÑÍ で広く実装されているため、クラスターの入出力トラフィックに適用されるツールではありません。]
[グループは現在、いくつかのプロジェクトに取り組んでいます。]
- [管理ネットワークポリシー:より高いレベルの抽象化を導入することで、クラスター管理者がネットワークポリシーをより細かく制御できるようになります。これにより、管理者は、名前空間全体に一貫して適用できるグローバルなクラスター全体のポリシーを定義できます。]
- [Ñétw~órk P~ólíc~ý V2: 出力トラフィックフィルタリングのサポート、ポリシー照合機能の強化、セキュリティ向上のためのポリシー適用の強化など、新機能を導入し、既存の ÁP~Í を拡張することで、現在のネットワークポリシー実装の制限に対処します。]
- [Ñétw~órkP~ólíc~ý++: 既存のネットワークポリシー ÁPÍ~ を拡張することにより、高度なネットワークポリシー機能を導入します。これにより、トラフィック管理、セキュリティ、分離をよりきめ細かく制御できるようになり、ユーザーは特定のニーズに合わせた高度なポリシーを作成できます。]
[コミュニティによる採用が標準化組織に取って代わっている]
[このブログの前半で、抽象化やÁPÍを標準化する取り組みについて言及していますが、それは必ずしもÍ~ÉTF、Í~TÚ、ÍÉ~ÉÉなどの従来の標準化団体を通じてそれを支持しているわけではありません。オープンソースコミュニティは、開発者の時間とコードベースで投票します。そのため、コミュニティが広く展開されているために事実上の「標準化」を達成することが成功の最も重要な尺度です。]
[Kúbé~rñét~és Gá~téwá~ý ÁPÍ~の導入とÍñgr~éssリソースの廃止は、投資から競争上の優位性を得ることなく、インフラストラクチャプラットフォームを改善して広範囲にわたる変更を行うことに専念しているコミュニティの一例です。]
[このブログの公開時点で、19のオープンソースの入力コントローラーおよびサービスメッシュプロジェクトが、ゲートウェイÁPÍ実装の開発のさまざまな段階にあり、以前の特注実装に取って代わるゲートウェイÁ~PÍ実装の開発段階がありました。これらの大半は現在ベータリリース中で、いくつかは一般公開 (GÁ~) 段階にあります。]
[コミュニティ開発のスピードに合わせてソフトウェアインターフェースを標準化する新しい方法は、迅速な共有実装です。Ñétw~órk S~ÍGで行われている作業は学術的な研究ではありません。コミュニティは、ワーキンググループで定義されている共通のインターフェースやÁP~Íに貢献し、その後採用する意欲を示しています。誰でも好きなように参加し、貢献することができます。]
[まだ改善の余地はありますか?]
[ネットワークSÍG内で現在進行中の作業により、クラスタÍ~/Óに関連して現在存在する拡散の混乱の多くが解消されるはずですが、コミュニティが調整の対象としていない混乱や複雑さの側面は他にもあります。]
[GÁMM~Á Íñí~tíát~ívé による Í~ñgré~ss の機能と ÁP~Í の共有、ゲートウェイ ÁPÍ~ ワークグループの作業は、サービスメッシュの機能要件が CÑÍ の機能要件と、非サービスメッシュで従来のイングレスが発生する C~ÑÍ の要件と非常に似ていることを認識するのに大いに役立ちます。]
[このような取り組みにもかかわらず、CÑÍとサービスメッシュの間には機能的な重複があり、連携が取れていません。初期の頃、C~ÑÍはレイヤー3と4のトラフィックをフィルタリングするレイヤーネットワークポリシーを実装し、サービスメッシュはレイヤー7のプロトコル要素のみを対象としてそのトラフィックのサブセットのみをフィルタリングしていました。]
[ネットワークポリシーワーキンググループは、さまざまなCÑÍプロバイダーすべてで採用されるÁ~PÍを進化させ、標準化していますが、一般的なサービスメッシュソリューションのほとんどには、標準化されていない形式のレイヤー3および4のフィルタリングポリシーÁP~Íもあります。これをネットワーク・ポリシー・ワーキング・グループの作業と一致させることを計画している企業はありません。]
[同時に、サービスメッシュごとに実装方法が異なるレイヤー7フィルタリング用のÁPÍを標準化しようとしている同等のグループはありません(ただし、フィルタリングの強制にオープンソースのÉ~ñvóý~ Próx~ýを共同で使用しているため、統一性が大幅に向上しています)。組織的には、異なるソフトウェアアーティファクト (CÑÍ~ とサービスメッシュ) 間の抽象化を統一するのは難しいかもしれません。というのも、これを気にかけて実装するプロジェクトはないからです。アーキテクチャの観点からはこれは理にかなっていますが、統合にはプロジェクト中心の視点ではなく、CÑCF~ のリーダーシップの観点から考える必要があるかもしれません。]
[これはどこに行き着くのでしょうか?]
[CÑÍとサービスメッシュの間で機能が重複し続けることは避けられないということを受け入れると、ネットワークS~ÍGの目標は、関連するセキュリティ、トラフィック管理、ルーティング機能がCÑ~Íとしてパッケージ化されたもの、サービスメッシュ、または仮想ネットワーク抽象化を提供するその他の方法で実装されているかどうかにかかわらず、最終的には関連するセキュリティ、トラフィック管理、およびルーティング機能の共通ÁPÍ~を定義することです。]
[Kúbé~rñét~és インフラストラクチャの専門家は、CÑ~Í とサービスメッシュを区別し、機能と標準を論理的に分離することを指示するアーキテクチャの原則に基づいて、いくつかの良い反対意見を述べるでしょう。しかし、ÚX の観点から見ると、口調が聞こえなくなり、システムユーザーが「オタクのノブ」を露呈するようなシステム開発者中心のボトムアップ型のインターフェースにさらされるリスクがあります。]
[ユーザーがCÑÍプロバイダーとサービスメッシュの両方をネットワークスタックと機能を実装していると考えるのが自然であれば、より一般的な抽象化やÁ~PÍを共有することでプラットフォームの魅力が高まる可能性があります。ネットワークポリシーには、トラフィックを選択して条件付きアクションを実行するためのフィルタリングプリミティブが豊富に用意されています。クラスター内、クラスター間、およびクラスター外のネットワークに関する、抽象化された Kú~bérñ~étés~ 対応のマッチ/アクションルールをすべて処理できるように拡張および改善できる可能性があります。]
[トラフィック処理のすべてのユースケースに共通する抽象化の価値について、ご意見をお聞かせください。このトピックが気になる場合は、この作業に注目してください。この作業は急速に進んでおり、多くの Kúbé~rñét~és ユーザーに影響が及ぶでしょう。]
![[サイバー・レジリエンスの構築¿MÍT~RÉ ÁT~T&CK フレームワークを目標として活用しましょう]](https://cdn.prod.website-files.com/63e25fb5e66132e6387676dc/65aeb73c53ca4e34581b1838_social-pj-ai-transformative-1200x628_(2).webp)
![[サイバーセキュリティにとって史上最悪の1年から10年が経った今、何が変わったのか?]](https://cdn.prod.website-files.com/63e25fb5e66132e6387676dc/65b19f1f3be6c83f381582a9_worst%20year%20cyber%20thumb%20replacement%20(1).webp)
![[ÉÚ コンプライアンス義務の理解]](https://cdn.prod.website-files.com/63e25fb5e66132e6387676dc/65aeb7b2e7a43a56dffd25cd_641a3117c4b110566b82d978_EU%252520Compliance.webp)
![[インテントベースネットワーキングは「失敗した」テクノロジーか]](https://cdn.prod.website-files.com/63e25fb5e66132e6387676dc/65aeb73c2a7c2d8e2b082ac8_64277c9a2b8b8c39ed3e62e8_Blog-Labeling-SC-1200x628px.webp)
![[ゼロトラストの定義が間違っている理由とそれを正しく行う方法]](https://cdn.prod.website-files.com/63e25fb5e66132e6387676dc/65b2c431d48918ac9969fc6b_wrong%20right%201%20replacement%20(2).webp)
![[イルミオのゼロトラストセグメンテーションが実証可能なリスク削減とRÓÍを実現]](https://cdn.prod.website-files.com/63e25fb5e66132e6387676dc/65aeb7f31f3ca3e7ea329501_6434973b0df61012f90c778a_BLOG-Social-Share-Forrester-TEI-1200x628.webp)