コンテナ間通信は、クラウド環境の導入に伴いニーズが高まっている技術です。このような環境を支えるインフラとして必要とされているのがCiliumで、コスト削減と導入による効果の両方を満たす上で、高い成果が期待できます。

Ciliumとはどのようなソフトなのか、導入メリットは何なのか、を解説します。

Ciliumとは

Ciliumはコンテナ間通信に用いられているオープンソースのソフトウエア（OSS）のことで、読み方は「スリィアム」です。コンテナ間のネットワーク環境を提供するだけでなく、ネットワークの保護や監視も行えることから、近年注目が集まっています。

またCiliumは、コンテナネットワーク内のインターフェースであるCNI（Container Network Interface）の一種としても知られています。CNIとして有名なのはCalicoやFlannelですが、これらと同様にCiliumもコンテナ間のネットワーク接続やリソース割り当てが行えるのが特徴です。

Cilium活用のメリット

コンテナ間通信の方法にもさまざまなソリューションが挙げられる中で、Ciliumが選ばれているのにはどのような理由があるのでしょうか。

Ciliumの大きなメリットの一つが、eBPFを用いた高速通信の実現が可能な点です。eBPFとはLinuxカーネルの空間でプログラムを実行できる技術のことで、ソースコードを変更する必要がありません。そのため、Ciliumは最小限の負担でカーネルに対し多様なプログラムを実装して、機能を拡張していくことができます。

Ciliumでは、Linuxカーネル上でサービス間の通信を集約して運用を行います。この機能は通信のオーバーヘッドを抑えるとともに、管理効率化にもつながることから、モニタリングがしやすいというのがポイントです。

プロキシ不要の高速化と認証を両立させる上で、Ciliumは強力なソリューションといえるでしょう。

Ciliumの主な機能

Ciliumは上述のメリットを実現するために、多くの機能を備えています。具体的にどんな役割を果たすのか、ここで確認しておきましょう。

API保護

Ciliumはアプリケーションプロトコルの保護を行うための、リクエストごとの許可を行うことができます。これまでのファイアウォールのように全てを排除、あるいは許可するのではなく、個々のリクエストに対応できるため、柔軟性の高い保護を行えるのが強みです。

セキュアなサービス間通信

Ciliumでは同じセキュリティポリシーを共有するアプリケーションコンテナに対し、IDを発行します。発行されたIDを使って検証を行うことにより、効率的で安全なサービス間通信を実現できます。

外部サービスとの安全な接続

Ciliumが採用するラベルベースのセキュリティは、アクセス制御をクラスターの内部レベルで行えるのが特徴です。アプリケーションコンテナへのアクセスを、IPを制限の上許可できます。

ロードバランシング

Ciliumが備えるロードバランシング機能を用いて、アプリケーションコンテナ間、および外部サービスへのトラフィックを最適化することができます。eBPFに備わっているハッシュテーブルのおかげで、拡張が必要な場合も無制限に行えるのが強みです。

モニタリング

Ciliumでは常に問題の有無を確認できるモニタリング機能、およびトラブルシューティング機能が使えます。パケットの送信先と送信元を監視し、送受信者双方のラベル情報を取得可能です。

また、Ciliumに特化して提供されている観測ツール「Hubble」は、セキュリティ状況を可視化する上で強力な効果を発揮します。サービスの依存関係をマップに起こし、正しい意思決定を促せるでしょう。

Ciliumのクラウドネイティブにとどまらない可能性

Ciliumの導入は、クラウドネイティブ化が進む現場において魅力的な選択肢となっています。クラウド環境とオンプレミス環境をシームレスに接続し、ハイブリッドな運用を促進できる機能を備えているからです。

また、Ciliumは高度なセキュリティ環境の構築においても効果を発揮します。通信状況を逐一監視し、境界防御では実現し得ないゼロトラストなリスク管理によって、損失の回避が可能です。

今後Ciliumはクラウド環境の整備が当たり前のものとなった時代において、より強く求められるようになっていくかもしれません。