はじめに
「Oracle Cloud Hangout Cafe」(通称「おちゃかふぇ」/以降、OCHaCafe)は、日本オラクルが主催するコミュニティの1つです。定期的に、開発者・エンジニアに向けたクラウドネイティブな時代に身につけておくべきテクノロジーを深堀する勉強会を開催しています。
連載第3回の今回は、2021年5月12日に開催された「Oracle Cloud Hangout Cafe Season 4 #2『Kubernetesのネットワーク』」の発表内容に基づいて紹介していきます。
Dockerのネットワークから始まり、Kubernetesクラスタを実現するネットワークや、そのインタフェースであるContainer Network Interface(CNI)の仕組み、代表的なCNIプラグイン、CNIプラグインを使用したファイアウォールの仕組みであるNetworkPolicyを見ていきます。
アジェンダ
今回は、以下のアジェンダの流れに従って、順に解説します。
- Dockerのネットワーク
- bridge、host、none
- Kubernetesのネットワークの仕組み
- ネットワーク名前空間、Container Network Interface(CNI)、Cluster Networking
- Container Network Interface(CNI)の代表的なプラグイン
- flannel、Calico、Weave Net、Cilium、kube-router、Antrea
- NetworkPolicyとPod間セキュリティ
- NetworkPolicy
発表資料と動画については、下記のリンクを参照してください。
【資料リンク】
【動画リンク】
Dockerのネットワーク
まず、Kubernetesのネットワークに入る前に、Dockerのネットワークをおさらいします。Dockerのネットワークには、以下の3つの要素があります。
- 仮想ブリッジ
- Linux上に仮想的なL2スイッチを構成する機能
- 仮想マシンやホスト同士を通信させるために利用
- veth
- 仮想的なL2ネットワークインタフェース(仮想NIC)
- 2つのインタフェースをペアとして作成
- iptables
- Linuxに実装されたパケットフィルタリング/ネットワークアドレス変換の機能
- ファイアウォール/NAT(SNAT/DNAT/Masquerade)などの機能を提供
Dockerがデフォルトで用意しているネットワーク
Dockerのネットワークは、デフォルトで以下の3パターンが実装されています。これらはDockerインストール直後から利用できるネットワークで、docker network lsで表示できます。
- bridge
- Dockerのデフォルトのネットワークであり、最も利用される仕組み
- Linuxのbridge機能を利用してLinux上にDockerおよびコンテナ用のネットワークを構築
- Dockerが
docker0(仮想ブリッジ)というbridge networkを作成- コンテナ側とDockerデーモン側のネットワーク(≠ホストネットワーク)をvethペアで接続
-
docker0はDockerデーモン側のネットワークとホストネットワークのvethと接続
- コンテナそれぞれにIPを付与
- ホストの任意ポートをコンテナの任意のポートにマッピングできる(
docker runコマンドの-p(--publish)オプションの利用) - 独自のbridge networkも作成できる
bridge-network
- host
- ホスト側のネットワークインタフェースに接続
- ネットワーク設定はホストと同一
- bridgeのようなポートマッピングは不可(
docker runコマンドの-p(--publish)オプションの利用)- 特定のポートで起動するコンテナを2つ以上起動させることはできない
- ホスト側のネットワークインタフェースに接続
host-network
- none
- ループバックアドレス(localhost)のみが利用できるネットワーク
- 主にコンテナのネットワークを無効化したい場合に利用
none-network
ここまでは同一ホスト上のコンテナネットワークについて見てきましたが、参考として、異なるホスト上に存在するコンテナのネットワークの仕組みであるoverlay networkという仕組みも紹介します。
overlay networkはVXLAN(L2 over L3)の技術を利用して実現するもので、Dockerホストが異なる拠点やデータセンタに存在しても、同じネットワーク上に存在しているものとしてアクセスできます。overlay networkにはKVS(Key-Value Store)が必須になっており、Dockerホストのディスカバリなどに利用します。Key-Value StoreはConsul/etcd/ZooKeeperをサポートしています。
overlay-network
bridgeネットワークの操作
ここでは、Dockerネットワークについて実際にCLIでの操作を見ていきます。今回は先ほど紹介した3パターンの中から、最もよく利用されるbridgeについて解説します。
- Dockerネットワークの作成
$ docker network create --driver bridge <ネットワーク名> - Dockerネットワークの詳細確認
$ docker network inspect <作成したネットワーク名> - 作成したbridgeネットワークの利用(1)
$ docker run --net=<作成したネットワーク名> --name=<コンテナ名> image名 - 作成したbridgeネットワークの利用(2)
$ docker network connect <作成したネットワーク名> <コンテナ名>
Dockerのネットワークにおける課題
Dockerのネットワークの仕組みには課題があります。特に最もよく利用されるbridgeネットワークでは、iptablesによるNAT形式での通信を利用(overlay networkは除く)します。この仕組みはコンテナが増えるたびにiptable(NATテーブル)に追記していくことになり、コンテナが増えれば増えるほどNATテーブルの管理が煩雑になります。
この後で紹介するKubernetesは、特にコンテナ間の通信について「NAT不要のテクノロジーを利用してフラットなネットワークを構築しよう」という世界観に基づいて設計されています。
docker-issue
- この記事のキーワード
バックナンバー
この記事の筆者
筆者の人気記事
Oracle Cloud Hangout Cafe Season5 #1「Kubernetes Operator 超入門」(2022年1月19日開催)
2023年3月17日 6:30
Oracle Cloud Hangout Cafe Season6 #1「Service Mesh がっつり入門!」(2022年9月7日開催)
2023年6月22日 6:30
Oracle Cloud Hangout Cafe Season 4 #5「Kubernetesのオートスケーリング」(2021年8月4日開催)
2024年5月29日 6:30
Oracle Cloud Hangout Cafe Season 4 #2「Kubernetesのネットワーク」(2021年5月12日開催)
2024年2月20日 6:30
Think ITでは、技術情報が詰まったメールマガジン「Think IT Weekly」の配信サービスを提供しています。メルマガ会員登録を済ませれば、メルマガだけでなく、さまざまな限定特典を入手できるようになります。
