Service Extensions コールアウトでアプリケーション固有のニーズに合わせてロード バランサをカスタマイズする

※この投稿は米国時間 2023 年 10 月 19 日に、Google Cloud blog に投稿されたものの抄訳です。

先日 Google Next '23 で発表された、Google Cloud アプリケーション ロードバランサの Service Extension コールアウトがパブリック プレビュー版で提供開始されました。Service Extensions を使用すると、Google Cloud ネットワーキング プロダクトのデータ プレーンを迅速かつ簡単にカスタマイズできます。カスタム ロジックは、独自のワークフロー要件に対応したり、パートナーが自社のソフトウェアを Google サービスに簡単に統合したり、組織が Cross-Cloud Network を実装したりするのに役立ちます。

Service Extensions は、カスタム ロジックをネットワーク データ パスに挿入するための 2 つの方法であるプラグインとコールアウトを提供します。

• プラグインを使用すると、WebAssembly（wasm）コードを挿入して、ネットワーク データパスで拡張機能をインラインで実行できます。これらはフルマネージドのリソースであるため、Google が管理するサービスのメリットを求めるユーザーにとって使いやすいオプションです。プラグインは現在 Media CDN でのみ利用可能です。
• コールアウトを使用すると、データ処理パス内から Google Cloud、マルチクラウド、またはオンプレミスで実行されているカスタム サービスに対して RPC「コールアウト」を行うように Google Cloud ネットワーキング プロダクトに指示できます。コールアウトは、ユーザー管理の汎用コンピューティングにデプロイされます。

Google Cloud アプリケーション ロードバランサの Service Extensions コールアウトを導入することで、ユーザーは Cloud Load Balancing データ処理パス内から gRPC 経由でユーザー管理またはパートナー ホスト型アプリケーションにトラフィックを転送するようロードバランサに指示できます。これらのアプリケーションは、さらなる処理のためにトラフィックをロードバランサに返す前に、ヘッダーやペイロードの操作、セキュリティ スクリーニング、カスタム ロギングやトラフィックの認証などのさまざまなポリシーや機能を適用できます。

ルート拡張とトラフィック拡張という 2 つのコールアウト拡張タイプが計画されています。それぞれのタイプには、カスタマイズに関する重要なポイントがあります。

ルート拡張はリクエストの処理順序の最初に実行され、リクエストパスの先頭近くにカスタム ロジックを挿入するために使用できます。これらの拡張機能を使用すると、クラウド ロードバランサがリクエストを送信するバックエンド サービスを選択する方法に影響を与えることができます。

トラフィック拡張はリクエスト処理パスの最後に実行され、リクエストがバックエンドに送信される直前にカスタム ロジックを挿入するために使用できます。これらの拡張機能は、リクエスト ヘッダーの追加、ペイロードの変更、カスタム ログの有効化など、さまざまなユースケースをサポートします。

Service Extensions コールアウトには、次のようなメリットがあります。

• カスタマイズされた実装 - 固有のワークフロー要件に対応するようにトラフィック処理が調整され、クラウド アプリケーションやサービスのパフォーマンスを最適化できます。
• ユーザー サポートを強化 - 組織は、独自のアプリケーションを開発したりプログラムを購入したりしてサービスの提供方法を変更し、新しい要件やカスタム要件に対応できます。
• パートナーの統合 - パートナーはソフトウェアを Google Cloud アプリケーション ロードバランサ サービスとプログラマティックに統合し、新しい高度なユースケースを提供できます。

Service Extensions はさまざまな機能やサービスを提供できますが、ご利用になったお客様からは、最もよく使用するユースケースとして次のようなものが挙げられています。

• パートナー ソフトウェアまたはサービスを組み込むことで、ユーザーはパートナー アプリケーションまたはサービスと Google Cloud Load Balancing を、簡単、迅速、効率的に統合できます。このユースケースの典型的な関心分野には、ウェブ アプリケーション ファイアウォール（WAF）、API セキュリティ、bot 管理などの主要なセキュリティ機能の統合が含まれます。Fortinet、Palo Alto、Traceable、Human Security などのパートナー様がこのユースケースに共通の関心を抱いていることを嬉しく思います。
• データプレーンのカスタマイズは、トラフィック ヘッダーとペイロードの変更に重点を置いています。これには、セキュリティまたはアドテック JavaScript を挿入するための HTML レスポンスの書き換え、地域ごとのキャッシュ キーのカスタマイズ、アプリ固有のヘッダーやデバイス タイプの追加、削除、変更が含まれます。
• セキュリティとロギングにより、ユーザーは、JWT ペイロードに基づくカスタム ユーザー認証と認可のサポート、カスタム URL 署名メカニズムの変換と実装、カスタム TLS フィンガープリントのサポート、またはカスタム属性に基づくカスタム ログの確立を行うことができます。
• トラフィック ステアリングにより、コールアウトはヘッダー情報を書き換えることで、ユーザーの場所と HTTP メソッドに基づいてバックエンドの選択に影響を与えたり、カスタムのスティッキー セッション ロジックを実装したり、地理ベースの地域ロード バランサ トラフィック ルーティングをサポートしたりできます。

お客様や Palo Alto Networks、Fortinet、Traceable、Human Security などのパートナー様からいただいた Service Extensions コールアウトに対する初期のフィードバックは非常に好意的なものでした。

「Google の新しい Service Extensions コールアウト機能により、Fortinet と Google Cloud のお客様は、Google Cloud 上のワークロードをより適切かつシームレスに保護できます。」– Fortinet、プロダクト戦略担当最高マーケティング責任者兼 EVP、John Maddison 氏

「ウェブ トラフィックの 90% が API を介してルーティングされ、最新の AuthN / AuthZ ベースの攻撃、データ漏洩、不正行為の主な標的となっているため、API のセキュリティは非常に重要です。Traceable は Google Cloud Load Balancing の Service Extensions と連携することで、包括的な API セキュリティのためのシームレスな L7 トラフィック ステアリングというお客様の主要なニーズを解決しています。Google Cloud と Traceable のこの革新的な統合により、共通のお客様は API セキュリティを迅速に運用化し、API を利用したデジタル アセットとシステムを継続的に検出、テスト、分析、保護できるようになります。」- Traceable、最高技術責任者 / 共同創業者 Sanjay Nagaraj 氏

「私たちは、Service Extensions コールアウトを活用することで、Google Cloud のお客様向けに Human Defense Platform の統合を簡素化および合理化する最前線に立つことができ、大変嬉しく思っています。今回の Google Cloud とのパートナーシップの拡大により、大切なパートナーやクライアントが容易にアプリケーションをサイバーセキュリティの脅威、詐欺、不正利用から保護できるようになります。この革新的なアプローチにより、アプリケーションに追加の変更を加えることなく、あらゆる場所で実行されているお客様のアプリケーションに Human Defense Platform を簡単に統合できます。」- Human Security、最高技術責任者 Ido Safruti 氏

「Google Cloud Load Balancing での Service Extensions コールアウトは、当社のビジネスの複数のユースケースを実行可能なものとし、簡素化する可能性を秘めています。自社コードまたはサードパーティ ソフトウェアを使用してトラフィックの保護と処理の方法を変更できる柔軟性は、当社にとって特に魅力的です。私たちはパブリック プレビュー版に参加し、Google と提携して、共に Service Extensions のロードマップを描けることを楽しみにしています。」 - DoubleVerify、技術運用担当バイス プレジデント Roiy Berko 氏

詳細については、Service Extensions のドキュメントをご覧ください。

ー シニア プロダクト マネージャー Neil Abogado