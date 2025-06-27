KubernetesにおけるIngressとEgressとは

クラウド
2025年6月27日

8分

 

執筆者

Stephanie Susnjara

Author

Ian Smalley

Senior Editorial Strategist

KubernetesにおけるIngressとEgressとは

Kubernetesでは、IngressとEgressはクラウドネイティブなコンテナ化アプリケーション環境へのネットワーク・トラフィックの入り口と出口を指します。

  • Ingressは、外部のユーザーやシステムがKubernetesクラスター内のサービスにアクセスする方法を管理します。
  • Egressは、クラスター内の内部サービスがAPIデータベース、サードパーティー・ツールなど、クラスター外のシステムにアクセスする方法を定義します。

これらのトラフィック・フローは、クラウド・インフラストラクチャー内でモダンなアプリケーションを運用するうえで重要です。これを効果的に管理することで、顧客トラフィックをウェブ・アプリケーションにルーティングしたり、サードパーティーのAPIに安全にアクセスしたりするなど、さまざまなユースケースに対応できます。

今日のクラウド・コンピューティング主導の世界では、Kubernetesはますますクリティカルなワークロードを強化します。その結果、トラフィックを細かく制御する能力は、パフォーマンスの維持、セキュリティー対策の実施、コンプライアンス要件の遵守に不可欠となっています。

IBMニュースレター

The DX Leaders

AI活用のグローバル・トレンドや日本の市場動向を踏まえたDX、生成AIの最新情報を毎月お届けします。登録の際はIBMプライバシー・ステートメントをご覧ください。

ご登録いただきありがとうございます。

ニュースレターは日本語で配信されます。すべてのニュースレターに登録解除リンクがあります。サブスクリプションの管理や解除はこちらから。詳しくはIBMプライバシー・ステートメントをご覧ください。

Kubernetesの仕組み

Kubernetes（k8sまたはkubeとも呼ばれる）は、コンテナ・オーケストレーション・プラットフォームで、計算リソースのプール全体でアプリケーションのデプロイメント、スケーリング、保守を自動化します。サーバーを直接管理する代わりに、DevOpsやITチームは、コンテナでアプリケーションを実行するためにKubernetesを使用します。コンテナとは、アプリケーションを実行するために必要なすべてを含む軽量で自己完結型のソフトウェア単位です。

CNCFの報告書によると、Kubernetesは世界で2番目に大きなオープンソース・プロジェクト（Linuxに次ぐ）で、Fortune 100企業の71％が主要なコンテナ・オーケストレーション・ツールとして使用しています。

Dockerは、コンテナ・イメージを構築するために最も広く使用されているツールです。Kubernetesでは、コンテナはポッドと呼ばれる単位にまとめられます。ポッドはデプロイ可能な最小単位で、1つ以上のコンテナを含むことができます。Kubernetesは、これらのポッドをノードと呼ばれるマシンのクラスター全体にスケジュールします。

ポッドとそれに関連するリソースはネームスペースに整理されます。ネームスペースは、同じクラスター内で異なるチーム、プロジェクト、環境を管理するための論理的な区分を提供します。Kubernetesは、ロード・バランシング、フェイルオーバー、スケーリング、セルフヒーリングなど、クラスターの主要な機能を管理し、多くの低レベルなインフラストラクチャーの複雑さを抽象化します。

Kubernetesクラスター内では、サービスはしばしば互いに通信する必要があり、場合によっては外部システムと通信することもあります。Kubernetesは、内部コンポーネントを分離してパフォーマンスとセキュリティーを向上させる方法で、トラフィックを管理および制御します。その結果、受信トラフィックと送信トラフィックの両方を明示的に定義し、管理し、設定する必要があります。

KubernetesにおけるIngressとEgressの違い

基礎的なコンピューター・サイエンスでは、IngressとEgressは、ネットワークやシステムにおける受信トラフィックと送信トラフィックを指します。KubernetesのIngressとEgressは、プラットフォームチームに対して、トラフィックがKubernetesクラスターに入る流れと出る流れを管理するための制御されたフレームワークを提供します。この点は、セキュアでスケーラブルな本番環境を運用する上で不可欠です。

製品スポットライト

ハイブリッドクラウド・メッシュ

この動画では、Hybrid Cloud Meshがアプリ中心のマルチクラウド・ネットワーキング接続をいつでもどこでも数分で提供する方法について説明します。
ハイブリッドクラウド・メッシュの詳細はこちら

KubernetesにおけるIngressとは

Ingressとは、外部のユーザーやシステムからKubernetesクラスターに入る受信トラフィックを指し、通常はHTTPまたはHTTPS（いずれもTCPプロトコル上で動作）で行われます。組織は、すべてのサービスを直接インターネットに公開するのではなく、Ingressリソースを通じてIngressルールを定義します。このリソースは通常、YAMLで記述され、URLパスやドメイン名などの基準に基づいてKubernetesがトラフィックをルーティングする方法を指示します。

Ingressルールは、Ingressコントローラーによって適用されます。Ingressコントローラーとは、実際のエントリーポイントとして機能するソフトウェアで、通常はNGINXや他のリバースプロキシをベースにしています。コントローラーは受信リクエストを受け取り、必要に応じてトラフィックを復号化し、クラスター内の適切なサービスに転送します。

例えば、Ingressルールは次のように設定されることがあります。

  • api.company.comへのトラフィックを、データ・リクエストを処理するバックエンドAPIサービスにルーティングすること。
  • app.company.comへのトラフィックを、ユーザーが操作するフロントエンドアプリケーションにルーティングすること。
  • すべてのHTTPSリクエストを、Kubernetes Ingress層で管理される単一のTLS証明書を通じて処理し、セキュリティーと証明書管理を簡素化すること。

KubernetesにおけるIngressのメリット

  • コスト効率： Ingressを使用すると、複数のサービスが単一の外部ロードバランサーを共有できるため、ITインフラストラクチャーのコストを削減できます。特に、多数の独立してデプロイされるアプリケーションが存在するマイクロサービス環境で有効です。
  • 運用の簡素化： ルーティング、ドメイン設定、証明書管理を集中化することで、管理の複雑さを軽減し、サービス間の一貫性を確保できます。
  • セキュリティーの強化： IngressトラフィックのSSL/TLS終了は単一の制御ポイントで行われ、レート制限、認証、Webアプリケーションファイアウォールなどのポリシーを一貫して適用できます。この構成により、トラフィックがバックエンドサービスに到達する前にセキュリティーチェックを実施することで、不正アクセスなどの一般的なセキュリティー脅威を防ぐのに役立ちます。
  • 拡張性の向上： Ingressはパスおよびホスト名に基づくルーティングをサポートしており、単一の柔軟なエントリーポイントの背後でサービスを容易に拡張できます。例えば、APIパスに基づくルーティングを行うことで、チームは新しい外部宛先を追加せずにサービスを独立してスケールさせることができます。

Kubernetesサービスの種類とIngressの比較

Kubernetesは、クラスター外部にサービスを公開するためのいくつかの組み込みの方法を提供します。Ingressリソースは特定のサービスタイプと連携して動作しますが、特にWebベースのトラフィックに対して、より柔軟で集中管理されたアプローチを提供します。

ここでは、最も一般的なサービスタイプをいくつか紹介します：

  • ClusterIPは、サービスをクラスター内でのみ公開します。これは、内部のサービス間通信には便利ですが、外部からアクセスすることはできません。
  • NodePortは、クラスター内のすべてのノードで特定のポートを開放し、サービスを外部に公開します。シンプルではありますが柔軟性に欠け、ノードレベルのインフラストラクチャーを直接公開するため、運用上およびセキュリティー上の課題が生じます。
  • LoadBalancerは、各サービスに対するクラウドプロバイダー管理のロード・バランサーです。外部アクセスには適していますが、各新しいサービスに個別のロード・バランサーが必要になるため効率的にスケールできず、複雑さとコストが増加します。
  • Gateway APIAPIゲートウェイとして機能し、従来のIngressリソースを超えて、より高度で柔軟かつ拡張可能なトラフィックルーティングおよびポリシー管理を提供します。

これに対して、Ingressリソースは、ドメイン名やパスに基づくスマートなルーティングルールを使用することで、複数のサービスを単一の外部IPアドレスからアクセス可能にします。HTTP(S)の処理とトラフィック制御を集中化するため、本番ワークロードに適した選択肢となります。

KubernetesにおけるEgressとは

Egressとは、送信トラフィックを指します。Kubernetesクラスター内のサービスが外部のトラフィック宛先やシステム（例：API、クラウド・サービス、データベースなど）と通信する必要がある場合に該当します。Kubernetesではデフォルトで送信トラフィックに制限を設けていませんが、このオープンなポリシーは本番環境にはほとんど適していません。

組織は、セキュリティーおよびコンプライアンスの観点から、どのサービスが外部のエンドポイントに接続できるかを制御および監視したいと考えることが一般的です。例えば、小売企業は、決済サービスが承認された決済ゲートウェイにのみアクセスできるようにし、その他のすべての宛先への接続をブロックしたいと考えることがあります。

KubernetesでEgressを管理する方法

Kubernetesは、Egressを効果的かつセキュアに管理するためのいくつかの方法を提供します。これらの管理方法を導入することで、組織は許可されたトラフィックのみが外部ネットワークに流れるようにでき、セキュリティーとコンプライアンスを強化できます。

ネットワーク・ポリシー

Kubernetesネットワークポリシーは、どのポッドが送信接続を許可されるかを制限し、到達可能なアドレスやドメインを指定できます。多くの場合、IPレンジにはCIDR表記が使用されます。これらのポリシーは、明示的に許可された通信のみを許可することで、ゼロトラスト・モデルをサポートします。これらのネットワーク・ポリシー内のEgressルールは、送信トラフィックの制限を定義し、ポッドがアクセスできる外部の宛先を管理します。

Egressゲートウェイ

Egressゲートウェイは多くの場合、サービスメッシュの一部としてデプロイされ、すべての送信トラフィックを監視された制御ポイントを通じてルーティングできます。これにより、高度なトラフィック制御、暗号化、および可観測性が可能になります。

専用Egressノード

専用のEgressノードやNATゲートウェイを使用して、送信接続を集中管理およびログ記録することも可能で、トレーサビリティーの確保やパフォーマンス分離の向上に役立ちます。

KubernetesにおけるEgressのメリット

  • 堅牢なデータ保護： Egressネットワーク・ポリシーは送信トラフィックを制限することで、データ漏洩のリスクや、サービスが悪意のある外部エンドポイントに接続されるリスクを低減します。
  • コンプライアンス： KubernetesのEgressトラフィックを制御することで、承認されたエンドポイントへの接続を制限し、監査の可視性を確保することで、機密ワークロードが規制要件を満たすようにできます。
  • コスト管理の向上： Egressトラフィックの管理により、制御されていない送信コールや大規模なデータ転送による予期せぬクラウド料金の発生を防ぐことができます。
  • 可観測性の強化： Egressトラフィックを管理することで、アプリケーションが依存する外部システムを可視化でき、ベンダー管理、デバッグ、外部サービス依存関係の特定に役立ちます。

参考情報

IBM NS1 Connect：DNSのパフォーマンスとレジリエンスを強化

IBM NS1 Connectは、ネットワークの信頼性、セキュリティー、パフォーマンスを向上させる堅牢なDNS管理サービスを提供します。高度な機能でDNSインフラストラクチャーを強化し、最適なアプリケーション配信を実現し、ダウンタイムを最小限に抑えましょう。
IBMのクラウド・ネットワーキングで接続性を最適化

IBMのクラウド・ネットワーキング・ソリューションは、ビジネスの接続性を強化する、安全、スケーラブル、高パフォーマンスのオプションを提供します。クラウドのインフラストラクチャーを保護し、アプリケーションのパフォーマンスを向上させるだけでなく、拡張も容易です。
ネットワーク・モニタリングについて理解を深める

ネットワーク・モニタリングにより、ITインフラストラクチャーの継続的な正常性と効率性を確保できます。モニタリング・ツールとモニタリングを行う利点について、またネットワークの信頼性、セキュリティー、運用効率を向上させる方法をご覧ください。
IBM Cloud VPC提供開始 — 構築に確信が持てる

ワークロードのセキュリティー、柔軟性、制御を強化するIBM Cloud VPCの提供が開始されました。今すぐ強力でスケーラブルなツールを構築にご活用ください。
関連ソリューション
IBM SevOne Network Performance Management

IBM SevOne Network Performance Managementは、複雑なネットワークに対するリアルタイムの可視性と洞察を提供する監視および分析ソフトウェアです。

 ネットワーク・パフォーマンスの監視
ネットワーキング・ソリューション

IBMのクラウド・ネットワーキング・ソリューションは、アプリケーションとビジネスを強化する高性能な接続を可能にします。

 クラウド・ネットワーキング・ソリューションの詳細はこちら
テクノロジー・コンサルティング・サービス

IBMコンサルティングを利用して、アプリケーションをモダナイズし、業種・業務の要件に対応しましょう。

 テクノロジー・コンサルティング・サービス
次のステップ

IBMの高性能なネットワーキング・ソリューションを活用して、貴社のネットワークでビジネスを加速させましょう。

 クラウド・ネットワーキング・ソリューションの詳細はこちら デモを予約