Calico Cloud、Calico Enterprise

クラウド ネイティブ Kubernetes セキュリティ、可観測性

背景

  • モノリシックからマイクロサービスへ
  • 仮想マシンからコンテナへ
  • オーケストレーション、Kubernetes
  • プロジェクトCalico
  • Calico Cloud、Calico Enterprise

プロジェクトCalico

コンテナ、仮想マシン等に対して、シンプル、スケーラブルなネットワークを提供するオープンソースのプロジェクトである。

Calicoは、Kubernetes等、オーケストレータとともに使用される。

現在は、Tigera社が開発を主導している。

課題

従来のクラウド環境では、L2ネットワークで、VXLAN等、オーバーレイ技術、トンネリング技術が利用されてきた。

ところが、仮想的なネットワークの場合、運用、トラブルシューティング等が複雑になってしまう。

特にオーバーレイネットワークの場合、L2セグメントが複数のサーバ、データセンターに広がってしまう。

– BUM、East-Westトラフィックで、多くのARPパケットが飛び交う.
– カプセル化によるCPUオーバヘッドにより、パフォーマンスが低下する。
– ヘッダ情報が付加されることで、MTU値が小さくなってしまう.

Kubernetesは、クラウドネイティブ環境の基盤である。クラウドネイティブ環境で実行されるコンテナのライフサイクルは、分、秒単位の非常に高速で、ネットワークも柔軟に追従していく必要性がある。

解決

Calicoは、このような状況に対して、クラウドコンピューティングにおけるネットワーク接続を、代表的なルーティング技術であるBGPを利用して、L3ネットワーク、即ち、インターネットと同じ技術で実現している。

各コンテナに対して、コンテナ自身が存在する最小のネットワークレンジのIPアドレスを付与する。

各ホストノードに対しては、仮想ルータ機能により、ホスト内に存在するコンテナのIPアドレスをネットワーク上に直接広報する。

仮想ルータがホストノードに構成するルーティングテーブルを元に、各コンテナはL3ベースで内外との通信を行う。

最小単位のネットワークで構成されるコンテナは、作成・削除・移動のイベントが発生しても他のコンテナに影響を与えることがない。

MACアドレスを解決する必要が無いので、ARPパケットは飛び交わない。

Kubernetesでも、Pod間はIP通信を行う。

従って、オーバーレイでの問題は解消され、トラブルシューティングもしやすくなる。

ネットワークポリシーというファイアウォール機能を持っており、ルールの設定により、柔軟なアクセス制限をかけることができる。

Calico Cloud、Calico Enterprise

最も広く採用されているコンテナネットワーキング、セキュリティソリューションであるプロジェクトCalicoのオープンソース上に構築されている。

Calico Cloudは、従量課金のSaaSで提供される。 Calico Enterpriseは、オンプレミス、クラウドにインストールする。

コンテナ、Kubernetes、クラウド向け、セキュリティ、可観測性の次世代プラットフォームである。

Kubernetesの宣言型の性質を拡張、Kubernetesのネイティブなアーキテクチャ上に構築された、自己管理型のKubernetesセキュリティ、可観測性のプラットフォームで、セキュリティ、可観測性をコードとして指定する。

  • North-South制御
  • East-West制御
  • セキュリティ、コンプライアンス
  • 可観測性
  • 統一制御
  • シフトレフト セキュリティ


【開発元】Tigera, Inc. https://www.tigera.io/

【輸入元】先端技術研究所 https://www.ART-Sentan.co.jp/
     KHB16427@nifty.com  support@ART-Sentan.co.jp
     045-978-1292

お試し版

資料請求

    タイトルとURLをコピーしました