サービスメッシュとは？

サービスメッシュ定義

構造的な観点では、 ネットワークプロキシの集まりを指します。使用されるプロキシは連続したパターンに配置され、サービスメッシュの機能と管理はアプリのコードに委ねられます。

機能的な観点では、これはアプリのプラットフォーム層に適用され、対象アプリのスケーラビリティ、信頼性、及びセキュリティの向上に寄与します。

サービスメッシュのさらなる詳細

使用されるプロキシは一般にデータプレーンと呼ばれ、サービス間の通信やその関連操作の傍受を担当します。

管理面はコントロールプレーンが担い、プロキシの監視や必要に応じたAPIの提供、さらにはアプリ運用者間の調整と統制も行います。この二点がサービスメッシュアーキテクチャを形成します.

クラウドネイティブアプリがトレンドとなった今、サービスメッシュはアプリセキュリティ向上の有望な手段として業界で注目されています.

クラウド環境でのアプリ開発では、Kubernetesで管理される複数のサービスインスタンスを用いる必要があります。クラウドネイティブアプリの各サービスインスタンスは物理ノード上で動的にスケジュールされ、常に状態が変化するため、サービス間の情報交換は非常に複雑かつ煩雑になります。また、全体の実行時間や挙動にも影響します.

この技術の登場により、サービス間通信は従来より容易になったとの評価が世界的に広まり、クラウドベースのアプリ全体のパフォーマンス向上にもつながっています.

以下は有名なサービスメッシュの例です:

• AWS App MeshはEnvoyプロキシに基づいています
• Azure Service Fabricはオープンソースのサービスメッシュです
• Google Cloud IstioはIstioのパッケージ版で、Google Kubernetes Engineと共に提供されます。IstioはKubernetesネイティブソリューションとして初めて設計されました。

サービスメッシュの仕組み

この革新的な技術は、従来と違うことを行うのではなく、物事のやり方を変えます。あらゆるアプリアーキテクチャには、どのように、いつ、どのリクエストが各通信ポイント間を移動するかを決めるルールが存在すべきです。通常、これらのルールはアプリレベルで適用されます.

アプリ層から事前に定められたルールを取得し、インフラ層に配置します。では、サービスメッシュがどのように動作するかを見ていきましょう.

前述の通り、サービスメッシュはネットワークプロキシの集まりです。プロキシの仕組みをご存知であれば、次にその動作について説明します.

サービスメッシュが導入されると、全てのマイクロサービスからの通信が近接するインフラ層に誘導され、プロキシがネットワーク処理を担当します。これらのプロキシは、メッシュと並行して動くため、マイクロサービス用のサイドカーと呼ばれます.

サービスメッシュは貴社にとって本当に必要か？

現代、アプリのセキュリティが開発者にとって最重要課題となっているため、サービスメッシュは主流の技術となる可能性があります。しかし、その効果はセキュリティ面に留まらず、貴社の他の面での改善にも寄与する場合があります.

複数クラスターでマイクロサービスを運用する際、サービスメッシュの導入により通信の管理をメッシュに委ね、各サービスの負担を軽減できます。これにより、複数クラスターが稼働していてもシームレスな通信が実現します.

一つのアプリに複数のポリシーを実装する必要がある場合、サービスメッシュは有用な選択肢となります。この技術は、ポリシーを細かい単位で実装するか、メッシュ全体に適用するかを柔軟に決定できます.

堅牢なロールアウト戦略を必要とするアプリについても、大きな恩恵をもたらします。特に、ブルー/グリーン方式のロールアウト戦略の実装に大いに寄与します.

サービスメッシュの長所と短所

他の技術と同様に、サービスメッシュには長所と短所が存在し、導入前にその両面を把握することが重要です.

この技術の主な利点は以下の通りです. 

• マイクロサービスやコンテナ間のシームレスな通信を求める開発者には、大きな恩恵があります.
• インフラ層での通信が可能なため、通信プロセスのエラー検出が容易になります.
• サイドカー配置により、ネットワークサービスの管理がこれまでよりも簡単になります.
• 高水準の暗号化（または エンドツーエンド暗号化）、ユーザまたは API認証、およびAPI認可といった機能を、手間なくアプリに組み込むことができ、これらの実装によりより良い APIセキュリティが実現されます.
  

これらの利点が大きく評価される一方で、サービスメッシュの欠点も無視できません:

• 実行インスタンスが増加する可能性があります.
• 追加の手順が入るため、通信にかかる時間が増加します。サービスメッシュを使用すると、全てのサービス呼び出しがサイドカーを経由する必要があります.
• 他の連携がほとんどサポートされないため、システムやサービスの統合能力が非常に限定されます.
• ルーティングや変換マッピングの問題に効果的に対処する場合、サービスメッシュの利用は推奨されません.

‍

サービスメッシュの将来

マイクロサービスへの需要やアプリセキュリティへの注目が高まる中、サービスメッシュの未来は明るいと考えられます。最近のIstio 1.0のリリースは開発者コミュニティで大きな反響を呼び、サービスメッシュアーキテクチャの大幅な改善と評価されています.

今後、セキュアなマイクロサービス開発にはサービスメッシュが欠かせない存在となるでしょう.

サービスメッシュとゼロトラストセキュリティの関係

近年、ゼロトラストはクラウドやその他のアプリに推奨されるセキュリティ手法です。全てを常に監視することで、アプリ及びインフラレベルでのセキュリティ強化が実現されます.

継続的な通信やアクセス認証と検証の組み合わせが、その実現に最も適した方法です。ゼロトラストセキュリティとサービスメッシュは、いずれもアプリセキュリティの向上を目指しているため、相性が良いと言えます.

サービスメッシュがゼロトラストエコシステム構築に必要なサイバーセキュリティ対策にどのように寄与するか、以下に示します:

• 安全なマイクロサービス通信のため、相互TLS（mTLS）の実装をサポートします.
• マイクロサービスの識別と認可管理を担当します.
• アクセス制御管理の実装を支援します.
• ‍サービスメッシュKubernetesは、RBACを用いて役割やマイクロサービスに対して最小限の権限を設定することを許可します.
• パケット傍受、データ流出、サービスなりすましなどの攻撃からアプリを守ります.

Wallarmによるサービスメッシュセキュリティ

Wallarmは、サービスメッシュを導入し効果的に管理するための信頼性の高い手法の一つです。Istioの利用を希望する場合も、Envoyに魅力を感じる場合も、Wallarmはセキュリティとスムーズな運用を重視しながら、効果的な実装を支援します.

WallarmのAPIおよびサービスメッシュセキュリティ関連のソリューションは高品質で、必要に応じ自動化され、機能が充実しています。ぜひAPIセキュリティプラットフォームの導入を始め、安心を手に入れてください.