Kubernetes 向けネットワーク ポリシーを正式リリース
Google Cloud Japan Team
昨年 9 月にベータになった Kubernetes 向けのネットワーク ポリシーが、このたび正式リリース(GA)となりました。ネットワーク ポリシーは、本番環境の負荷に対応できるように、Google Kubernetes Engine 上で完全にテストかつサポートされています。そのため、コミュニティとしては同機能を有効化することを推奨します。
ネットワーク ポリシーは、ポッドのグループ同士がどのように通信するかを Kubernetes の管理者が指定できるようにする一連の制限事項であり、ネットワーク制御の階層作成を可能にします。たとえば、多層アプリケーションに対してネットワーク ポリシーを適用すると、不正侵入されたフロントエンド サービスと、課金処理などのバックエンド サービスが通信しないようにすることができます。
Kubernetes Engine ネットワーク ポリシーは、Project Calico を推進するパートナー企業の Tigera との緊密な協力によって実装されました。
正式リリースにあたり、コミュニティでは以下の機能を追加しています。
- Kubernetes Engine のノードを最大 2,000 まで試験的にサポート
- 最新のネットワーク ポリシー API(Kubernetes 1.9)をサポート
- Calico のバージョン 2.6.7 でネットワーク ポリシー機能を実装
- Google Container Registry での Calico Kubernetes Engine イメージ
ネットワーク ポリシーの今後の予定は以下のとおりです。
- Calico 3.0 へのアップグレード。今回のリリース用に Calico 2.6 を採用しましたが、近いうちに Calico 3.0 に移行する予定です。これにより、Calico のネットワーク ポリシーが適用できるようになり、ベースとなる Kubernetes ネットワーク ポリシーを拡張して高度な機能が使えるようになります。
- アプリケーション レイヤ ポリシーが Istio と統合され、スタック上の複数レイヤにセキュリティ ルールを適用できるようになるほか、レイヤ 5~7 のルールで既存のネットワーク ポリシーの定義を拡張し、アプリケーション接続を細かく制御できるようになります。Tigera は最近、この Calico 機能のテクノロジー プレビュー版を公開しています。Kubernetes Engine のお客様がこの追加機能をどのように採用するのか、私たちは楽しみにしています。
Kubernetes の開発は急ピッチで進められており、なかでもネットワーク セキュリティの分野ではそれが顕著です。Kubernetes ネットワーク ポリシーの使い方や活用方法を学びたい方は、Google デベロッパー エクスペリエンス エンジニアの Ahmet Alp Balkan が投稿した最近のブログを参考にネットワーク ポリシーを試してみてください。
Google Cloud Platform や Kubernetes Engine をまだ使ったことがない方は、300 ドル分の無料クレジットを利用すれば今すぐ試用できます。
* この投稿は米国時間 3 月 20 日、Google の Networking Product Manager である Manjot Pahwa と、Tigera の VP Partners & Customer Success である Andy Randall によって投稿されたもの(投稿はこちら)の抄訳です。
- By Manjot Pahwa, Networking Product Manager, Google, and Andy Randall, VP Partners & Customer Success, Tigera