Kubernetesでは、IngressとEgressはクラウドネイティブなコンテナ化アプリケーション環境へのネットワーク・トラフィックの入り口と出口を指します。
これらのトラフィック・フローは、クラウド・インフラストラクチャー内でモダンなアプリケーションを運用するうえで重要です。これを効果的に管理することで、顧客トラフィックをウェブ・アプリケーションにルーティングしたり、サードパーティーのAPIに安全にアクセスしたりするなど、さまざまなユースケースに対応できます。
今日のクラウド・コンピューティング主導の世界では、Kubernetesはますますクリティカルなワークロードを強化します。その結果、トラフィックを細かく制御する能力は、パフォーマンスの維持、セキュリティー対策の実施、コンプライアンス要件の遵守に不可欠となっています。
Kubernetes（k8sまたはkubeとも呼ばれる）は、コンテナ・オーケストレーション・プラットフォームで、計算リソースのプール全体でアプリケーションのデプロイメント、スケーリング、保守を自動化します。サーバーを直接管理する代わりに、DevOpsやITチームは、コンテナでアプリケーションを実行するためにKubernetesを使用します。コンテナとは、アプリケーションを実行するために必要なすべてを含む軽量で自己完結型のソフトウェア単位です。
CNCFの報告書によると、Kubernetesは世界で2番目に大きなオープンソース・プロジェクト（Linuxに次ぐ）で、Fortune 100企業の71％が主要なコンテナ・オーケストレーション・ツールとして使用しています。
Dockerは、コンテナ・イメージを構築するために最も広く使用されているツールです。Kubernetesでは、コンテナはポッドと呼ばれる単位にまとめられます。ポッドはデプロイ可能な最小単位で、1つ以上のコンテナを含むことができます。Kubernetesは、これらのポッドをノードと呼ばれるマシンのクラスター全体にスケジュールします。
ポッドとそれに関連するリソースはネームスペースに整理されます。ネームスペースは、同じクラスター内で異なるチーム、プロジェクト、環境を管理するための論理的な区分を提供します。Kubernetesは、ロード・バランシング、フェイルオーバー、スケーリング、セルフヒーリングなど、クラスターの主要な機能を管理し、多くの低レベルなインフラストラクチャーの複雑さを抽象化します。
Kubernetesクラスター内では、サービスはしばしば互いに通信する必要があり、場合によっては外部システムと通信することもあります。Kubernetesは、内部コンポーネントを分離してパフォーマンスとセキュリティーを向上させる方法で、トラフィックを管理および制御します。その結果、受信トラフィックと送信トラフィックの両方を明示的に定義し、管理し、設定する必要があります。
基礎的なコンピューター・サイエンスでは、IngressとEgressは、ネットワークやシステムにおける受信トラフィックと送信トラフィックを指します。KubernetesのIngressとEgressは、プラットフォームチームに対して、トラフィックがKubernetesクラスターに入る流れと出る流れを管理するための制御されたフレームワークを提供します。この点は、セキュアでスケーラブルな本番環境を運用する上で不可欠です。
Ingressとは、外部のユーザーやシステムからKubernetesクラスターに入る受信トラフィックを指し、通常はHTTPまたはHTTPS（いずれもTCPプロトコル上で動作）で行われます。組織は、すべてのサービスを直接インターネットに公開するのではなく、Ingressリソースを通じてIngressルールを定義します。このリソースは通常、YAMLで記述され、URLパスやドメイン名などの基準に基づいてKubernetesがトラフィックをルーティングする方法を指示します。
Ingressルールは、Ingressコントローラーによって適用されます。Ingressコントローラーとは、実際のエントリーポイントとして機能するソフトウェアで、通常はNGINXや他のリバースプロキシをベースにしています。コントローラーは受信リクエストを受け取り、必要に応じてトラフィックを復号化し、クラスター内の適切なサービスに転送します。
例えば、Ingressルールは次のように設定されることがあります。
Kubernetesは、クラスター外部にサービスを公開するためのいくつかの組み込みの方法を提供します。Ingressリソースは特定のサービスタイプと連携して動作しますが、特にWebベースのトラフィックに対して、より柔軟で集中管理されたアプローチを提供します。
ここでは、最も一般的なサービスタイプをいくつか紹介します：
これに対して、Ingressリソースは、ドメイン名やパスに基づくスマートなルーティングルールを使用することで、複数のサービスを単一の外部IPアドレスからアクセス可能にします。HTTP(S)の処理とトラフィック制御を集中化するため、本番ワークロードに適した選択肢となります。
Egressとは、送信トラフィックを指します。Kubernetesクラスター内のサービスが外部のトラフィック宛先やシステム（例：API、クラウド・サービス、データベースなど）と通信する必要がある場合に該当します。Kubernetesではデフォルトで送信トラフィックに制限を設けていませんが、このオープンなポリシーは本番環境にはほとんど適していません。
組織は、セキュリティーおよびコンプライアンスの観点から、どのサービスが外部のエンドポイントに接続できるかを制御および監視したいと考えることが一般的です。例えば、小売企業は、決済サービスが承認された決済ゲートウェイにのみアクセスできるようにし、その他のすべての宛先への接続をブロックしたいと考えることがあります。
Kubernetesは、Egressを効果的かつセキュアに管理するためのいくつかの方法を提供します。これらの管理方法を導入することで、組織は許可されたトラフィックのみが外部ネットワークに流れるようにでき、セキュリティーとコンプライアンスを強化できます。
Kubernetesネットワークポリシーは、どのポッドが送信接続を許可されるかを制限し、到達可能なアドレスやドメインを指定できます。多くの場合、IPレンジにはCIDR表記が使用されます。これらのポリシーは、明示的に許可された通信のみを許可することで、ゼロトラスト・モデルをサポートします。これらのネットワーク・ポリシー内のEgressルールは、送信トラフィックの制限を定義し、ポッドがアクセスできる外部の宛先を管理します。
専用のEgressノードやNATゲートウェイを使用して、送信接続を集中管理およびログ記録することも可能で、トレーサビリティーの確保やパフォーマンス分離の向上に役立ちます。
