コンテンツに移動
Google Cloud

Kubernetes 向けネットワーク ポリシーを正式リリース

2018年4月17日
Google Cloud Japan Team

昨年 9 月にベータになった Kubernetes 向けのネットワーク ポリシーが、このたび正式リリース(GA)となりました。ネットワーク ポリシーは、本番環境の負荷に対応できるように、Google Kubernetes Engine 上で完全にテストかつサポートされています。そのため、コミュニティとしては同機能を有効化することを推奨します。

ネットワーク ポリシーは、ポッドのグループ同士がどのように通信するかを Kubernetes の管理者が指定できるようにする一連の制限事項であり、ネットワーク制御の階層作成を可能にします。たとえば、多層アプリケーションに対してネットワーク ポリシーを適用すると、不正侵入されたフロントエンド サービスと、課金処理などのバックエンド サービスが通信しないようにすることができます。

Kubernetes Engine ネットワーク ポリシーは、Project Calico を推進するパートナー企業の Tigera との緊密な協力によって実装されました。

正式リリースにあたり、コミュニティでは以下の機能を追加しています。

  • Kubernetes Engine のノードを最大 2,000 まで試験的にサポート
  • 最新のネットワーク ポリシー API(Kubernetes 1.9)をサポート
  • Calico のバージョン 2.6.7 でネットワーク ポリシー機能を実装
  • Google Container Registry での Calico Kubernetes Engine イメージ

ネットワーク ポリシーの今後の予定は以下のとおりです。

  • Calico 3.0 へのアップグレード。今回のリリース用に Calico 2.6 を採用しましたが、近いうちに Calico 3.0 に移行する予定です。これにより、Calico のネットワーク ポリシーが適用できるようになり、ベースとなる Kubernetes ネットワーク ポリシーを拡張して高度な機能が使えるようになります。

  • アプリケーション レイヤ ポリシーが Istio と統合され、スタック上の複数レイヤにセキュリティ ルールを適用できるようになるほか、レイヤ 5~7 のルールで既存のネットワーク ポリシーの定義を拡張し、アプリケーション接続を細かく制御できるようになります。Tigera は最近、この Calico 機能のテクノロジー プレビュー版を公開しています。Kubernetes Engine のお客様がこの追加機能をどのように採用するのか、私たちは楽しみにしています。

Kubernetes の開発は急ピッチで進められており、なかでもネットワーク セキュリティの分野ではそれが顕著です。Kubernetes ネットワーク ポリシーの使い方や活用方法を学びたい方は、Google デベロッパー エクスペリエンス エンジニアの Ahmet Alp Balkan が投稿した最近のブログを参考にネットワーク ポリシーを試してみてください

Google Cloud Platform や Kubernetes Engine をまだ使ったことがない方は、300 ドル分の無料クレジットを利用すれば今すぐ試用できます。

* この投稿は米国時間 3 月 20 日、Google の Networking Product Manager である Manjot Pahwa と、Tigera の VP Partners & Customer Success である Andy Randall によって投稿されたもの(投稿はこちら)の抄訳です。

- By Manjot Pahwa, Networking Product Manager, Google, and Andy Randall, VP Partners & Customer Success, Tigera

投稿先