LinuxカーネルをフックするeBPFによるサービスメッシュを、Kubernetesに加えてVMやパブリッククラウドまで拡大する「Cilium Mesh」が登場

今回は「LinuxカーネルをフックするeBPFによるサービスメッシュを、Kubernetesに加えてVMやパブリッククラウドまで拡大する「Cilium Mesh」が登場」についてご紹介します。

関連ワード （基調講演、構成、構築等） についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、Publickey様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

Linuxのカーネルをフックする「eBPF」（extended Berkeley Packet Filter）と呼ばれる仕組みを用いてサービスメッシュを構成する「Cilium」などを開発するIsovalentは、Kubernetesだけでなく仮想マシンやパブリッククラウドまでをカバーするサービスメッシュを実現する「Cilium Mesh」を発表しました。

Introducing Cilium Mesh. Cilium & eBPF powered networking, security, and observability for VMs, servers, and existing networks across cloud, on-prem, and edge.https://t.co/0arVUKZIMo

— Isovalent (@isovalent) April 18, 2023

（ちなみに、画像の右側にいるハチ（Bee）のマスコットは「Obee-Wan Kenobee」（オビーワン・ケノービー）という名前だそうです）

「eBPF」はクラウドネイティブ関連で最も注目されている技術の1つで、Linuxカーネルの持つさまざまな機能をフックすることでカーネルに対してプログラマブルな機能拡張を実現する技術です。

2021年8月にGoogle、Facebook、マイクロソフト、Netflix、Isovalentの5社によるeBPFの推進団体「eBPF Foundation」が発足した頃から急速に注目度が高まってきました。

参考：Google、Facebook、マイクロソフトらが、OSカーネルをプログラマブルに拡張できる「eBPF」の開発と発展を目指す「eBPF Foundation」を結成

このeBPFを使って、Kubernetes上のPod間をネットワークでつなぐサービスメッシュを実現するのが、Isovalentが開発している「Cilium」です。

サービスメッシュはサービス間のネットワーク接続において、認証や暗号化、サービスディスカバリ、ロードバランシング、メトリクスの取得など、さまざまな機能を提供してくれるため、サービス側ではビジネスロジックに集中できることが利点です。

しかもKubernetesで構築された分散環境における各サービスやネットワークなどのメトリクスをサービスメッシュを通じて集中管理できるため、高い可観測性も実現されます。

eBPFは、このサービスメッシュを簡単かつ効率よく小さなオーバーヘッドで導入できることで急速に注目度が高まっています。

参考：「eBPF」がクラウドネイティブを超強力にする。eBPFとは何か？ 何ができて、どんな利点があるのか？ Cloud Native Days Tokyo 2022基調講演から

Cilium Meshで実現できることとは

今回発表されたCilium Meshは、このサービスメッシュをKubernetesに加えてパブリッククラウド、仮想マシンなどへも拡大して対応する機能を提供します。

仮想環境（VMware）やパブリッククラウド（AWS）をサポートするためのTransit Gatewayには、L7ロードバランシング、カナリアロールアウト、mTLS、トレーシングなどのサービスメッシュを実現する機能が組み込まれています。

Cilium Meshによって、以下のようなことが実現可能になると説明されています。

Modern Zero-Trust Security（モダンなゼロトラストセキュリティの実現）
分散ファイアウォールとマイクロセグメンテーション、透過的な暗号化、mTLSベースによるエンドツーエンドの認証など、ゼロトラストベースのセキュリティを構築するためのモダンかつクラウドネイティブなセキュリティの実現。

Deep End-to-End Observability（エンドツーエンドの深い可観測性）
Cilium Meshにより、既存のネットワークにおいてもeBPFベースの可観測性が実現されます。PrometheusやGrafanaなど最新の標準的で強力なツールで可視化できます。

Multi-Cloud Aligned（マルチクラウドでの整合性の実現） Ciliumは、主要なクラウドすべてのKubernetesプラットフォームで採用されており、そのネットワークレイヤーに深く統合されています。そしてCiliumはこれらを抽象化することで、ポータビリティを提供します。

DevOps & GitOps Alignment（DevOpsとGitOpsでの整合性の実現）
Cilium Meshは、完全に自動化された方法でデプロイでき、すべてAPIによる設定が可能であるため、DevOpsの実現に最適です。

Highly Scalable Control Plane（高いスケーラビリティを持つコントロールプレーン）
Ciliumコントロールプレーンは分散型でスケーラビリティを備えています。

Kubernetesにおけるサービスメッシュは注目度の高い最新技術ではありますが、多くの企業においてはまだ先進的すぎるため、導入の選択肢になりにくいのが現実です。

それを踏まえて仮想環境やオンプレミスにまで守備範囲を広げたのがCilium Meshだといえます。IsovalentはCilium Meshを足がかりに、今後エンタープライズ向け市場への参入を本格化させるのではないかと考えられます。