Kubernetes 向けネットワーク ポリシーを正式リリース

昨年 9 月にベータになった Kubernetes 向けのネットワーク ポリシーが、このたび正式リリース（GA）となりました。ネットワーク ポリシーは、本番環境の負荷に対応できるように、Google Kubernetes Engine 上で完全にテストかつサポートされています。そのため、コミュニティとしては同機能を有効化することを推奨します。

ネットワーク ポリシーは、ポッドのグループ同士がどのように通信するかを Kubernetes の管理者が指定できるようにする一連の制限事項であり、ネットワーク制御の階層作成を可能にします。たとえば、多層アプリケーションに対してネットワーク ポリシーを適用すると、不正侵入されたフロントエンド サービスと、課金処理などのバックエンド サービスが通信しないようにすることができます。

Kubernetes Engine ネットワーク ポリシーは、Project Calico を推進するパートナー企業の Tigera との緊密な協力によって実装されました。

正式リリースにあたり、コミュニティでは以下の機能を追加しています。

• Kubernetes Engine のノードを最大 2,000 まで試験的にサポート
  
• 最新のネットワーク ポリシー API（Kubernetes 1.9）をサポート
  
• Calico のバージョン 2.6.7 でネットワーク ポリシー機能を実装
  
• Google Container Registry での Calico Kubernetes Engine イメージ
  

• Calico 3.0 へのアップグレード。今回のリリース用に Calico 2.6 を採用しましたが、近いうちに Calico 3.0 に移行する予定です。これにより、Calico のネットワーク ポリシーが適用できるようになり、ベースとなる Kubernetes ネットワーク ポリシーを拡張して高度な機能が使えるようになります。
  

• アプリケーション レイヤ ポリシーが Istio と統合され、スタック上の複数レイヤにセキュリティ ルールを適用できるようになるほか、レイヤ 5～7 のルールで既存のネットワーク ポリシーの定義を拡張し、アプリケーション接続を細かく制御できるようになります。Tigera は最近、この Calico 機能のテクノロジー プレビュー版を公開しています。Kubernetes Engine のお客様がこの追加機能をどのように採用するのか、私たちは楽しみにしています。
  

Google Cloud Platform や Kubernetes Engine をまだ使ったことがない方は、300 ドル分の無料クレジットを利用すれば今すぐ試用できます。

* この投稿は米国時間 3 月 20 日、Google の Networking Product Manager である Manjot Pahwa と、Tigera の VP Partners & Customer Success である Andy Randall によって投稿されたもの（投稿はこちら）の抄訳です。

- By Manjot Pahwa, Networking Product Manager, Google, and Andy Randall, VP Partners & Customer Success, Tigera