---

Calicoとは？Kubernetesネットワークとセキュリティを徹底解説

はじめに：なぜKubernetesネットワークは重要なのか？

現代のクラウドネイティブアプリケーション開発において、Kubernetesはデファクトスタンダードのコンテナオーケストレーションプラットフォームとして広く利用されています。Kubernetes上で動作するアプリケーションは、多くの場合、複数のマイクロサービスとして設計され、それぞれがPodとしてデプロイされます。これらのPodは互いに通信し、外部のサービスやユーザーとも連携する必要があります。

ここで重要となるのが「ネットワーク」です。Kubernetesクラスタ内でのPod間の通信、PodからServiceへの通信、外部からのServiceへのアクセス、そしてクラスタノード間の通信など、様々な種類の通信が発生します。これらの通信が効率的かつ安全に行われるためには、適切に設計・実装されたネットワーク基盤が不可欠です。

また、セキュリティも同様に重要です。Pod間の不要な通信を制限したり、特定のPodやNamespaceからのアクセスを制御したりすることで、セキュリティリスクを低減できます。マイクロサービスアーキテクチャでは、サービス間のアクセス制御が特に重要になります。

Kubernetesは、コンテナネットワークの抽象化のためにCNI（Container Network Interface）という仕様を定義しています。CNIは、コンテナランタイムがネットワークプロバイダーと連携するための標準インターフェースを提供します。これにより、Kubernetes自身は特定のネットワーク実装に依存せず、様々なCNIプラグインを差し替えて利用することが可能になっています。市場には多くのCNIプラグインが存在し、それぞれが異なる特徴や機能を提供しています。

その中でも、特にエンタープライズ環境や高いパフォーマンス、堅牢なセキュリティが求められる環境で広く採用されているのが「Calico」です。Calicoは、シンプルながらも強力なネットワーク機能と高度なネットワークセキュリティポリシー機能を提供することで知られています。

この記事では、Kubernetesにおけるネットワークの基礎から始め、Calicoがどのようにこれらの要件を満たすのかを徹底的に解説します。Calicoのコアコンポーネント、ネットワーク機能（IPAM、データプレーン、ルーティング）、セキュリティ機能（NetworkPolicy）、アーキテクチャ、導入、運用、そして他のCNIとの比較まで、網羅的に掘り下げていきます。これにより、Calicoがなぜ多くの組織で選ばれているのか、どのように活用できるのかを深く理解できるでしょう。

Kubernetesネットワーキングの基礎

Calicoの詳細に入る前に、Kubernetesがネットワークに求める基本的な要件を理解しておくことが重要です。Kubernetesでは、以下の原則に基づいてネットワーキングが設計されています。

1. すべてのPodはNATなしで互いに通信できるべきである: Podは一意のIPアドレスを持ち、他のPodはそのIPアドレスを使って直接通信できる必要があります。これにより、アプリケーションはPodが仮想マシンであるかのように振る舞うことができます。
2. すべてのノードはNATなしで Pod と通信できるべきである: ノード上で動作するエージェント（例: kubelet）やシステムPodは、クラスタ内の任意のPodと直接通信できる必要があります。
3. ノード上のエージェント (例: kubelet) は、各Podにトラバース可能なIPアドレスを割り当てるべきである: 割り当てられたPodのIPアドレスは、クラスタ内の他のノードやPodからルーティング可能である必要があります。

これらの要件を満たすために、CNIプラグインは主に以下の機能を提供します。

• IPアドレス管理 (IPAM – IP Address Management): Podが起動する際に、そのPodに一意のIPアドレスを割り当て、終了時には解放する仕組みです。CIDRブロックの管理や、重複しないアドレスの割り当てを行います。
• ネットワーク接続 (Connectivity): 各Podに仮想ネットワークインターフェースを接続し、それらのインターフェースを介してPod間やノード間でのパケット転送を可能にします。これには、ルーティングやカプセル化などの技術が使われます。
• ネットワークポリシー (Network Policy): Pod間の通信を制御するためのルールを定義し、適用する仕組みです。Ingress（受信）およびEgress（送信）方向のトラフィックを許可または拒否できます。

CNIプラグインは、通常、各ノードで動作するデーモンや、Kubernetes APIと連携するコントローラーとして実装されます。Podが作成されると、kubeletはCNIプラグインを呼び出し、そのPodにネットワークインターフェースを接続し、IPアドレスを割り当てます。

一般的なCNIプラグインには、Flannel、Calico、Cilium、Antrea、Weave Netなどがあります。Flannelはシンプルで扱いやすいですが、ネットワークポリシー機能は提供していません（Calicoと組み合わせて使われることが多い）。CiliumはeBPFを活用し、高いパフォーマンスと高度な可視性、セキュリティ機能を提供します。Calicoは、BGPによるルーティングやIP-in-IP/VXLANによるカプセル化、そして強力なネットワークポリシー機能が特徴です。

この記事で焦点を当てるCalicoは、特に大規模環境でのスケーラビリティと、Kubernetes標準のNetworkPolicyに加え、よりリッチな独自のポリシー機能を提供することで差別化を図っています。

Calicoとは？

Calicoは、Project Calicoによって開発されているオープンソースのコンテナネットワーキングおよびセキュリティソリューションです。その主な目的は、クラウド、Kubernetes、およびレガシーなオンプレミスワークロードに対して、シンプルでスケーラブルなネットワーク接続とエンタープライズグレードのセキュリティポリシーを提供することです。

Calicoは、純粋なIPネットワーキングに焦点を当てています。つまり、Podに割り当てられたIPアドレスが、基盤となるネットワーク全体でルーティング可能であることを目指しています。これにより、Overlayネットワーク（VXLANなど）を使用する場合と比較して、ネットワークのシンプルさとパフォーマンスの向上を図っています。（ただし、後述するようにOverlayもサポートしています。）

Calicoが提供する主要な機能は以下の2点です。

1. ネットワーク接続 (Connectivity): Podや仮想マシン、ベアメタルサーバーなどのワークロードに対して、レイヤー3（IPレイヤー）での接続を提供します。これには、IPアドレスの割り当て（IPAM）、ルーティング、そして必要に応じてデータプレーン（IP-in-IP, VXLAN, eBPFなど）の管理が含まれます。
2. ネットワークセキュリティポリシー (Network Security Policy): ワークロード間の通信を詳細に制御するためのポリシーエンジンを提供します。Kubernetes標準のNetworkPolicyに加え、より柔軟で強力な独自のポリシーリソース（GlobalNetworkPolicyなど）を提供します。

Calicoの設計思想は、「シンプルさ、スケーラビリティ、パフォーマンス」です。IPベースのルーティングを活用することで、従来のネットワーク機器との親和性を高め、大規模なクラスタでも高いパフォーマンスを維持できるように設計されています。

CalicoはCNIプラグインとして動作するだけでなく、Kubernetesの外部（仮想マシンやベアメタルサーバー）でも動作させることが可能です。これにより、Kubernetesクラスタ内外にまたがる一貫したネットワークとセキュリティポリシーを適用できます。

Calicoのコアコンポーネント

Calicoはいくつかの異なるコンポーネントで構成されており、それぞれが特定の役割を担っています。主要なコンポーネントは以下の通りです。

1. Felix:

   • Calicoの主要なコンポーネントで、各Kubernetesノード上でデーモンセットとして動作します。
   • そのノード上で実行されているPodのインターフェース管理、ルーティング設定、およびネットワークポリシーの適用（Enforcement）を担当します。
   • NetworkPolicyは、LinuxカーネルのiptablesまたはeBPFプログラムとして実装されます。
   • データストア（etcdまたはKubernetes API）を監視し、ポリシーやネットワーク構成の変更を検知して即座に反映します。
   • IPAM情報の管理（割り当てられたIPアドレスの報告など）も行います。

2. BGP Client / Route Reflector:

   • Calicoは、PodのIPアドレスへのルーティング情報をクラスタ全体に伝播するためにBGP（Border Gateway Protocol）を利用できます。
   • 各ノードのFelixは、自身のノード上で実行されているPodのCIDRブロックをBGPで他のノードに通知するBGPクライアントとして機能します。
   • 大規模なクラスタでは、すべてのノードが互いにBGPピアリングを行うフルメッシュ構成はスケーラビリティに課題が生じます。このため、Route Reflectorと呼ばれる専用のコンポーネント（またはノード）を導入し、BGPルート情報の集約・配布を効率化します。

3. Datastore:

   • Calicoのネットワーク構成、ポリシー、IPアドレス割り当て情報などのすべての状態を保存する中央リポジトリです。
   • Calicoは以下の2つのデータストアオプションをサポートしています。
     • etcd: Calicoが独自に管理するetcdクラスタ。フル機能を利用できるが、運用管理の負担が増える可能性があります。
     • Kubernetes API Datastore: Kubernetesクラスタ自身のetcdをデータストアとして利用します。CalicoリソースをKubernetesのCustom Resource Definitions (CRD) として管理するため、Kubernetesネイティブなツール（kubectl）でCalicoの状態を確認・操作でき、運用管理がシンプルになります。現在はこちらが推奨されています。

4. Typha (オプション):

   • 大規模クラスタでKubernetes APIデータストアを使用する場合に、Felixのスケーラビリティを向上させるためのコンポーネントです。
   • データストアへのコネクション数を削減し、大量のFelixインスタンスからのデータストア負荷を軽減します。
   • Typhaはデータストアを監視し、変更があった場合に接続している多数のFelixインスタンスに効率的に通知します。

5. confd (非推奨):

   • かつて使用されていた設定管理ツールですが、現在はほとんど使用されません。データストアから設定を取得し、Felixの設定ファイルを生成するために使われていました。

6. calicoctl:

   • Calicoクラスタの管理、監視、トラブルシューティングに使用するコマンドラインインターフェースツールです。
   • Calico固有のリソース（GlobalNetworkPolicy, IPPoolなど）の操作、クラスタの状態確認、IPAM情報の表示などが行えます。

7. Operator:

   • Kubernetes上でCalicoをインストール、アップグレード、管理するための推奨される方法です。
   • KubernetesのOperatorパターンに従い、Calicoリソース（Installation CRなど）を宣言的に管理できます。

これらのコンポーネントが連携して、Kubernetesクラスタにおけるネットワーク接続とセキュリティポリシーの適用を実現しています。特にFelixは各ノードでワークロードと直接やり取りする最前線のコンポーネントであり、そのパフォーマンスと安定性がCalico全体の信頼性に直結します。

Calicoのネットワーク機能

Calicoは、Podやその他のワークロードに対する効率的かつスケーラブルなネットワーク接続を提供します。その主要なネットワーク機能を見ていきましょう。

1. IPアドレス管理 (IPAM)

CalicoのIPAMは、各PodにユニークなIPアドレスを割り当て、管理します。以下の特徴があります。

• IPプール (IP Pool): Calicoでは、IPアドレスの範囲をIPプールとして定義します。クラスタ全体で複数のIPプールを定義でき、PodにどのプールからIPを割り当てるかをNamespaceやPodのラベルなどに基づいて制御することも可能です。各IPプールはCIDRブロック（例: 192.168.0.0/16）で定義されます。
• ブロックの割り当て: IPプール内のアドレス空間は、デフォルトで小さなブロック（通常は/26、64アドレス）に分割されます。Podが起動すると、Calico IPAMはノードにブロックを割り当て、そのブロックからPodにIPアドレスを付与します。これにより、IPAMシステム全体の競合を減らし、スケーラビリティを向上させています。
• 重複なしの割り当て: Calico IPAMは、クラスタ内のすべてのPodに対して重複しないIPアドレスが割り当てられることを保証します。
• デュアルスタック対応: IPv4とIPv6の両方のアドレスを同時にサポートできます。IPプールをIPv4とIPv6それぞれで定義し、Podに両方のアドレスを割り当てることが可能です。
• IPアドレスの解放: Podが終了すると、割り当てられていたIPアドレスは解放され、再利用可能になります。割り当てられたブロック全体が解放されるのは、そのブロック内のすべてのPodが終了し、一定期間経過した後などです。

IPプールの設定例（Kubernetes API Datastoreを使用している場合）：

yaml
apiVersion: crd.projectcalico.org/v1
kind: IPPool
metadata:
name: default-ipv4-ippool
spec:
cidr: 192.168.0.0/16
blockSize: 26
ipipMode: Always
natOutgoing: true
disableSourcePrefixChecking: false

この例では、192.168.0.0/16 のCIDRを持つIPv4プールを定義しています。blockSize: 26 は、各ノードに /26 のブロックが割り当てられることを意味します。ipipMode: Always は、IP-in-IPカプセル化を常に使用することを示します。natOutgoing: true は、Podからクラスタ外部への通信時にSNAT（Source Network Address Translation）を行うことを指示しています。

2. データプレーン

Calicoは、Pod間のパケット転送を実現するためにいくつかの異なるデータプレーンオプションを提供しています。データプレーンは、ノード上でパケットをどのように処理し、ルーティングするかを決定します。選択するデータプレーンは、ネットワーク環境やパフォーマンス要件によって異なります。

Calicoがサポートする主なデータプレーンは以下の通りです。

• IP-in-IP (IPIP):

  • 最も古くからサポートされているカプセル化方式の一つです。
  • PodからのIPパケットを、送信元ノードから宛先ノードへのIPパケットでカプセル化して送信します。宛先ノードでカプセルを解除して、元のパケットを宛先Podに転送します。
  • これにより、PodのIPアドレスが基盤ネットワークで直接ルーティング可能でなくても、ノード間のルーティングさえ確立されていればPod間通信が可能になります。
  • シンプルで設定が容易ですが、カプセル化/非カプセル化のオーバーヘッドがあります。また、基盤となるネットワークがIPIPトラフィックを許可している必要があります。
  • LinuxカーネルのIPIPモジュールを利用します。

• VXLAN:

  • IPIPと同様のカプセル化方式ですが、より新しい技術です。
  • オリジナルのパケットをUDPパケットでカプセル化します。
  • IPIPよりも幅広いネットワーク機器やクラウド環境でサポートされています。
  • 多くのクラウドプロバイダーや仮想化環境で利用されるOverlayネットワーク技術です。
  • こちらもカプセル化/非カプセル化のオーバーヘッドがあります。
  • Calicoでは、IPIPまたはVXLANのどちらか、あるいは両方（デュアルOverlay）を選択できます。ipipMode または vxlanMode を Never, Always, CrossSubnet (異なるサブネットのノード間でのみ使用) から選択します。

• BGP (Direct Routing):

  • カプセル化を使用せず、PodのIPアドレスを基盤ネットワークで直接ルーティングする方式です。
  • 各ノードのFelixは、そのノード上のPodのCIDRブロックへのルート情報をBGPで他のノードやルーターに通知します。
  • 基盤となるネットワークがBGPをサポートしている必要があり、ネットワーク設計が複雑になる場合があります。
  • カプセル化のオーバーヘッドがないため、理論的には最も高いパフォーマンスを発揮します。
  • PodのIPアドレスが、Kubernetesクラスタの外部からもルーティング可能になるため、セキュリティ設計に注意が必要です。

• eBPF (Extended Berkeley Packet Filter):

  • Linuxカーネルの強力なインフラストラクチャを活用した新しいデータプレーンです。
  • パケット処理ロジックをユーザー空間からカーネル空間にロードし、カーネル内で効率的にパケットを処理します。
  • iptablesのようなカーネルのネットワーキングスタックをバイパスすることができ、低遅延かつ高スループットなパケット処理が可能です。
  • ネットワークポリシーの適用やNATなどをカーネル内で直接、効率的に行うことができます。
  • 従来のiptablesベースのデータプレーンと比較して、ポリシー数が増加してもパフォーマンスが劣化しにくいという利点があります。
  • 高度な可視性（ネットワークフローログなど）を提供することも可能です。
  • 比較的新しい技術であり、特定のカーネルバージョンや設定が必要となる場合があります。Calicoではv3.13以降で本格的にサポートされています。

• Wireguard:

  • 比較的新しい、シンプルで高速なVPNプロトコルです。
  • ノード間のトラフィックを暗号化するために使用できます。セキュリティとパフォーマンスのバランスが良いとされています。
  • 特にパブリッククラウドなど、安全でないネットワーク上でノード間通信を行う場合に有用です。
  • Calico v3.18以降でサポートされています。

データプレーンの選択は、既存のネットワークインフラストラクチャ、パフォーマンス要件、運用負荷などを考慮して行う必要があります。多くの場合、オンプレミス環境ではBGP、クラウド環境ではIPIPまたはVXLANが使用されます。最新のKubernetes環境では、パフォーマンスと機能の面からeBPFデータプレーンも注目されています。

3. ルーティング

Calicoは、PodのIPアドレスへのトラフィックを適切にルーティングするために、主に以下の仕組みを利用します。

• BGP (Border Gateway Protocol):

  • 前述のBGPデータプレーンで使用されるだけでなく、IPIPやVXLANデータプレーンを使用する場合でも、ノード間のルーティング情報を伝播するためにBGPを利用できます。
  • 各ノードは、自身に割り当てられたPod CIDRブロックへのルートをBGPで他のノードに通知します。
  • ノード間のBGPピアリングは、フルメッシュまたはルートリフレクター経由で行われます。
  • 受信ノードは、BGPによって学習したルート情報に基づいて、PodのIPアドレスへのトラフィックを適切なノードに転送します。IPIPやVXLANを使用する場合は、転送前にカプセル化を行います。
  • BGPは、大規模なネットワークで経路情報を交換するための標準プロトコルであり、そのスケーラビリティと堅牢性を活用できます。既存の物理ネットワーク機器とBGPピアリングを行うことで、Kubernetesクラスタと外部ネットワーク間のルーティングを連携させることも可能です。

• Linux Kernel Routing Table:

  • Felixは、BGPによって学習したルート情報や、自身のノード上のPodへのローカルルートを、各ノードのLinuxカーネルのルーティングテーブルに設定します。
  • パケットがノードに到着すると、Linuxカーネルはそのルーティングテーブルを参照して、パケットを適切なインターフェース（ローカルPod、別のノードへのIPIP/VXLANトンネル、または物理NIC）に転送します。

例えば、Node A上のPod XがNode B上のPod Yにパケットを送信する場合：

1. Pod Xからパケットが送信される。宛先IPはPod YのIPアドレス。
2. パケットはNode Aのネットワークスタックに到達する。
3. Node AのFelixは、Pod YのIPアドレスがNode B上のPod CIDRブロックに属していることを知っている（BGPで学習した情報）。
4. CalicoがIPIPデータプレーンを使用している場合、Felix（またはLinuxカーネルのIPIPモジュール）は元のパケットをNode BのIPアドレスへの新しいIPパケットでカプセル化する。
5. Node AのLinuxカーネルは、カプセル化されたパケットをNode BのIPアドレスにルーティングする。
6. パケットは基盤ネットワークを経由してNode Bに到着する。
7. Node BのLinuxカーネル（またはFelix）は、IPIPカプセルを解除し、元のパケットを取り出す。
8. Node BのFelixは、元のパケットの宛先IPがPod Yのものであることを認識し、そのパケットをPod Yの仮想インターフェースに転送する。

BGPによる直接ルーティングを使用する場合は、カプセル化のステップがなく、Pod Yへのルート情報に基づいて直接パケットを転送します。

このルーティングの仕組みにより、Calicoは複雑なOverlayネットワークの代わりに、既存のレイヤー3ネットワークを最大限に活用してPod間通信を実現します。

Calicoのセキュリティ機能

Calicoは、Kubernetesのネットワークポリシーを強力に実装し、さらに独自のセキュリティ機能を提供します。

1. Kubernetes NetworkPolicy

Calicoは、Kubernetes標準の NetworkPolicy リソースを完全にサポートしています。NetworkPolicyは、特定のPodセットに対して、他のPod、Namespace、またはIPアドレスブロックからの通信を許可または拒否するルールを定義するためのAPIオブジェクトです。

NetworkPolicyは以下の要素で構成されます。

• podSelector: ポリシーを適用する対象のPodを指定します（ラベルセレクターを使用）。
• policyTypes: 適用するポリシーの方向（Ingress, Egress）を指定します。省略した場合、ルールが定義されている方向（ingress または egress）が自動的に適用されます。
• ingress: 受信トラフィックに対するルールのリスト。
  • from: 許可する送信元を指定します（podSelector, namespaceSelector, ipBlock）。
  • ports: 許可する宛先ポートとプロトコルを指定します。
• egress: 送信トラフィックに対するルールのリスト。
  • to: 許可する宛先を指定します（podSelector, namespaceSelector, ipBlock）。
  • ports: 許可する送信元ポートとプロトコルを指定します。

NetworkPolicyの動作原則:

• podSelector で選択されたPodは、少なくとも1つ以上のNetworkPolicyによって許可されない限り、いかなる通信も受信（Ingress）または送信（Egress）できません（ただし、他のPodからの通信は許可される可能性があります。NetworkPolicyはポリシーが定義されたPodの接続性のみを変更します）。
• policyTypes で指定された方向（IngressまたはEgress）について、ポリシーが適用されます。例えば、policyTypes: [Ingress] と指定した場合、Ingressポリシーのみが適用され、Egress通信はデフォルトで許可されます（または他のポリシーによって制御されます）。
• ポリシーはAdditive（加算的）に評価されます。複数のポリシーが特定のPodに適用される場合、それらのポリシーで許可されたすべてのトラフィックが許可されます。NetworkPolicyには明示的なDenyルールはありません。許可されないものはすべて暗黙的に拒否されます（ただし、ポリシーが全く適用されていないPod間の通信はデフォルトで許可されます）。

NetworkPolicyの例（ingress通信を制限）:

yaml
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
name: api-allow
namespace: default
spec:
podSelector:
matchLabels:
app: api
policyTypes:
- Ingress
ingress:
- from:
- podSelector:
matchLabels:
app: frontend
ports:
- protocol: TCP
port: 80

このポリシーは、default Namespaceにあるラベル app: api を持つPodに対して適用されます。
許可されるIngress通信は以下の通りです。
– 送信元が同じNamespace（default）にあるラベル app: frontend を持つPodからの通信。
– 宛先ポートがTCP 80である通信。

これ以外のすべてのIngress通信は、このポリシーの適用対象Podでは拒否されます。

CalicoのFelixコンポーネントは、Kubernetes APIサーバーからこれらのNetworkPolicyリソースを監視し、各ノード上のiptablesルールまたはeBPFプログラムに変換して適用します。この変換と適用は非常に効率的に行われます。

2. Calico NetworkPolicy

Kubernetes標準のNetworkPolicyは同一Namespace内での制御には十分ですが、クラスタ全体にわたるポリシーや、Kubernetes Podだけでなくノード自体へのポリシー適用、よりきめ細かいポリシー定義（例: ポリシーの優先順位付け）など、高度な要件には対応していません。

Calicoは、これらの高度な要件を満たすために、独自のCustom Resource Definitions (CRDs) としてNetworkPolicyとGlobalNetworkPolicyを提供しています。これらを総称して「Calico NetworkPolicy」と呼ぶことがあります。

Calico NetworkPolicyはKubernetes NetworkPolicyの上位互換であり、以下の拡張機能を提供します。

• GlobalNetworkPolicy:

  • クラスタ全体に適用されるポリシーを定義できます。Namespaceに依存しないため、クラスタ全体のセキュリティやマルチテナンシー環境でのテナント間の隔離ポリシーなどに適しています。
  • GlobalNetworkPolicy は NetworkPolicy よりも優先度が高く設定できます（後述のPolicy Tiers）。

• HostEndpoint:

  • Kubernetesノード自体や、Kubernetesクラスタの外部にある仮想マシン、ベアメタルサーバーなど、Pod以外のエンティティをポリシーの適用対象として定義できます。
  • HostEndpoint を定義することで、クラスタノードへのアクセス制御や、クラスタ内外のワークロード間の一貫したポリシー適用が可能になります。

• Policy Tiers:

  • Calico Policyには、Policy Tiers という概念があります。これにより、ポリシーに優先順位を付けることができます。
  • 異なる種類のポリシー（例: セキュリティ、ネットワーク接続、アプリケーション固有）に対して異なるTierを定義し、それぞれのTier内でポリシーの順序を制御できます。
  • 評価は高優先度（低い順序番号）のTierから順に行われます。あるTierでトラフィックに対して Allow または Deny アクションが決定された場合、それ以降のTierのポリシーは評価されません。
  • これにより、特定のTier（例: インフラストラクチャ層）で必須のポリシー（例: DNSへのアクセス許可）を定義し、その上で他のTierでアプリケーション固有のポリシーを自由に定義するといった柔軟な運用が可能になります。

• Default Deny:

  • Kubernetes NetworkPolicyはデフォルトで許可（ポリシー未適用Pod間）または暗黙的な拒否（ポリシー適用Pod）ですが、Calico NetworkPolicyを使用すると、クラスタ全体または特定のNamespaceに対してデフォルトで全ての通信を拒否するポリシー（GlobalNetworkPolicyやNetworkPolicyでorderを高く設定し、最後にdenyアクションを持つポリシー）を簡単に設定できます。これにより、ゼロトラストセキュリティモデルを実装しやすくなります。

• Service Account Selector:

  • Podのラベルだけでなく、Service Accountに基づいてポリシーの送信元/宛先を選択できます。これにより、Podのロールに基づいたアクセス制御が容易になります。

• Action:

  • Calico Policyでは、明示的なAllowおよびDenyアクションに加え、Log（パケットをログに記録するが転送は継続）やPass（次のTierまたはポリシーに進む）といったアクションも定義できます。

Calico GlobalNetworkPolicyの例（異なるNamespace間の通信をデフォルト拒否）:

yaml
apiVersion: crd.projectcalico.org/v1
kind: GlobalNetworkPolicy
metadata:
name: default-deny-all-ingress
spec:
order: 1000 # Higher order = Lower priority
selector: all() # Apply to all pods/workloads
types:
- Ingress
ingress:
- action: Deny # Default deny ingress
source: {} # Match all sources (all pods, namespaces, ipblocks)

このGlobalNetworkPolicyは、order: 1000 (低い優先度) で全てのPod（selector: all()）に適用され、全てのIngressトラフィックをDenyします。これにより、明示的にAllowポリシーで許可されない限り、全てのPodへのIngress通信がデフォルトで拒否されるようになります。通常、このポリシーよりも低いorder値を持つNetworkPolicyやGlobalNetworkPolicyで必要な通信を許可していきます。

Calico NetworkPolicyを効果的に活用することで、Kubernetesクラスタ内のセキュリティを大幅に強化し、複雑なマイクロサービス環境やマルチテナント環境でもきめ細やかなアクセス制御を実現できます。

3. セキュリティ機能の実装（Enforcement）

Calicoは、定義されたNetworkPolicyやGlobalNetworkPolicyを実際にトラフィックに適用するために、以下の技術を使用します。

• iptables/ipsets:

  • 伝統的なLinuxカーネルのファイアウォール機能です。
  • Felixは、データストアから取得したポリシー定義を、対応するiptablesルールとipsets（IPアドレスやポートの集合を効率的に管理）の組み合わせに変換します。
  • これらのiptablesルールがLinuxネットワークスタックの適切なフックポイントに挿入され、パケットがルールと照合されて許可/拒否のアクションが実行されます。
  • 多くのポリシーやルールが生成されると、iptablesの処理が複雑になり、パフォーマンスに影響を与える可能性があります。

• eBPF:

  • 新しいeBPFデータプレーンを選択した場合、Calico PolicyはiptablesではなくeBPFプログラムとしてコンパイルされ、Linuxカーネルにロードされます。
  • eBPFプログラムは、ネットワークインターフェースのパケット受信ポイントなど、カーネル内の様々なフックにアタッチされ、パケットがこれらのフックを通過する際にプログラムが実行されます。
  • eBPFは、iptablesよりも効率的にパケット処理を行うことができ、多数のポリシーがある場合でも高性能を維持しやすいという利点があります。
  • ポリシーの適用だけでなく、ネットワークトラフィックの可視化（フローログなど）にもeBPFが活用されます。

Calicoは、ポリシーを評価する際に以下の順序でポリシーセットを適用します（最も優先度が高いものから低いものへ）。

1. Egress Policy Tiers: EgressポリシーのTier（低いOrder値から順に）
2. Ingress Policy Tiers: IngressポリシーのTier（低いOrder値から順に）

各Tier内では、ポリシーのorder値が低いものほど優先度が高くなります。同じTierで同じorder値のポリシーがある場合、名前などのアルファベット順で評価されることがあります（これは推奨されない運用方法です）。

ポリシーが評価され、最初に見つかったAllowまたはDenyアクションが適用されます。Passアクションの場合は、次のTierまたはポリシーの評価に進みます。どのポリシーにもマッチしない場合、デフォルトの動作は「許可」（ただし、Policyが適用されているPodでは指定した方向の通信は暗黙的に拒否される場合があるため注意が必要）となりますが、前述のGlobalNetworkPolicyなどを用いて明示的にデフォルト拒否を設定することが一般的です。

Calicoのアーキテクチャとコンポーネント詳細

ここでは、前述のコアコンポーネントについて、もう少し詳しく見ていきましょう。

Felixの詳細

• 役割: 各ワーカーノード上でCalicoの最前線として機能します。Podライフサイクルイベント（Podの起動/停止）を監視し、それに応じてノードのネットワークスタックを構成します。
• 主な機能:
  • Veth ペアの作成と管理: Podのネットワーク名前空間とホストのネットワーク名前空間を接続するために、veth (virtual ethernet) ペアを作成し、一方をPod内、もう一方をホスト側のブリッジまたはルートに接続します。
  • IPアドレスの設定: Pod内のネットワークインターフェースに、Calico IPAMによって割り当てられたIPアドレスを設定します。
  • ルーティング設定: 当該ノード上のPodへのルート、および他のノード上のPodへのルート（IPIP/VXLANトンネルまたはBGP経由）をノードのルーティングテーブルに設定します。
  • ポリシーの適用: データストアからポリシー情報を取得し、該当ノード上のPodに対して、iptablesルールまたはeBPFプログラムとしてネットワークポリシーを適用します。ポリシーが更新されると、Felixはリアルタイムでこれらのルールを更新します。
  • データストアとの同期: データストア（etcdまたはKubernetes API）から最新の構成、ポリシー、IPAM情報を取得し、自身の状態を同期させます。
  • ヘルスチェックとメトリクス:自身の状態や適用されているルールの情報などを監視システムに提供します。

Felixは非常に効率的であり、多数のPodやポリシーがある環境でもノードのパフォーマンスに大きな影響を与えないように設計されています。

BGP Client / Route Reflectorの詳細

• BGP Client (Felixの一部): 各ノード上のFelixは、自身のPod CIDRをBGPで広告するクライアントとして機能します。小規模クラスタでは、全てのFelixインスタンスが互いにピアリングするフルメッシュ構成が可能です。しかし、ノード数が増えるにつれてピアリング接続数が爆発的に増加するため、この方法は非スケーラブルです（Nノードで約 N^2/2 の接続が必要）。
• Route Reflector: 大規模クラスタ向けのスケーラブルなBGP構成です。クラスタ内に1つ以上のRoute Reflectorノードを配置します。各Felixインスタンスは、自身のPod CIDRをRoute Reflectorに広告し、Route Reflectorからクラスタ内の他の全てのPod CIDR情報を受け取ります。これにより、各Felixが必要なピアリング接続はRoute Reflectorとの間だけで済むようになり、フルメッシュの課題を解決します。Route Reflector自体はKubernetes Podとして動作させることが一般的です。

Datastoreの詳細

• etcd: Calicoが初期にサポートしていたデータストアです。Calico用のetcdクラスタを別途構築・運用する必要があります。Calicoの全機能を利用できますが、Kubernetesとは独立した管理が必要です。
• Kubernetes API Datastore: CalicoリソースをKubernetesのCustom Resource Definitions (CRD) としてKubernetes APIサーバーのetcdに保存します。
  • IPPool、NetworkPolicy、GlobalNetworkPolicy、HostEndpoint、BGPConfiguration、BGPPeer などのCalico固有のリソースがCRDとして定義されます。
  • これにより、kubectlコマンドを使用してCalicoリソースを作成、更新、削除、表示することが可能になります。
  • Kubernetesクラスタの運用管理に統合できるため、管理がシンプルになります。
  • 現在、CalicoをKubernetesにデプロイする際の標準的な方法であり、推奨されています。

Typhaの詳細

• 役割: 大規模なKubernetes API Datastore環境で、データストアの負荷を軽減し、Felixのスケーラビリティを向上させます。
• 問題: 多数のFelixインスタンスが直接Kubernetes APIサーバーを監視すると、APIサーバーへの負荷が大きくなります。特に、多数のPodやポリシーが頻繁に変更される環境では顕著です。
• 解決策: TyphaはKubernetes APIサーバーへの単一のコネクションまたは少数のコネクションを確立し、変更通知を受け取ります。そして、接続している多数のFelixインスタンスに対して、これらの変更通知を効率的にマルチプレックスして配信します。これにより、APIサーバー側の負荷が大幅に削減されます。
• 大規模クラスタ（例: 50ノード以上）でCalicoを使用する場合、Typhaのデプロイが強く推奨されます。

calicoctlの詳細

• 役割: Calicoオブジェクトの操作、クラスタの状態表示、デバッグを行うためのCLIツールです。
• 主なコマンド:
  • calicoctl apply -f <manifest.yaml>: Calicoリソース（IPPool, GlobalNetworkPolicyなど）を適用します。
  • calicoctl get <resource_type>: Calicoリソースを取得します（例: calicoctl get ippool, calicoctl get globalnetworkpolicy）。
  • calicoctl delete <resource_type> <name>: Calicoリソースを削除します。
  • calicoctl status: Calicoコンポーネントの状態（Felix, BGPピアリングなど）を表示します。
  • calicoctl node status: 特定のノード上のFelixおよびBGPの状態を表示します。
  • calicoctl ipam show: IPアドレス割り当てのサマリと詳細を表示します。
  • calicoctl datastore migrate: etcdデータストアからKubernetes APIデータストアへの移行などに使用します。
  • calicoctl diagnostics: クラスタの状態に関する診断情報を収集します。

calicoctlは、特にCalico固有のリソースを操作したり、Calicoに関連する問題をデバッグしたりする際に非常に便利なツールです。Kubernetes API Datastoreを使用している場合でも、kubectlコマンドに加えてcalicoctlが必要となる場合があります。

Operatorの詳細

• 役割: Kubernetesネイティブな方法でCalicoのインストール、アップグレード、設定管理を自動化します。
• 利点:
  • 宣言的な管理: Installationなどのカスタムリソースを定義することで、Calicoの構成をGitOpsなどの手法で管理できます。
  • 簡単なインストール/アップグレード: 単一のYAMLマニフェストを適用するだけで、Calico全体がデプロイされ、ライフサイクルが管理されます。
  • 設定の抽象化: データプレーンの選択、IPプールの定義などの設定がOperatorのリソースとして定義されます。
  • 依存関係の管理: Calicoコンポーネント間の依存関係やデプロイ順序をOperatorが管理します。

現在のCalicoのデプロイ方法としては、Operatorを使用することが推奨されています。Operatorは必要なCalicoコンポーネント（Felix, BGP Client/Route Reflector, Typhaなど）をPodとしてデプロイし、その健全性を監視・維持します。

Calicoの導入と設定

CalicoをKubernetesクラスタに導入する最も一般的な方法は、Calico Operatorを使用することです。

1. Calico Operatorのインストール:

まず、Calico Operator自体をクラスタにインストールします。これは、特定のYAMLマニフェストをkubectl applyコマンドで適用することで行われます。このマニフェストには、Operator Deployment、必要なRBAC設定、およびCRD定義などが含まれます。

bash
kubectl apply -f https://raw.githubusercontent.com/projectcalico/calico/v3.26.1/manifests/tigera-operator.yaml
（バージョン番号は執筆時点の最新版や使用したいバージョンに合わせて変更してください）

これにより、tigera-operator NamespaceにCalico OperatorのPodが起動します。

2. Calicoのインストール設定 (Installationリソース):

次に、Calico自体の設定を定義するInstallationカスタムリソースを作成します。このリソースは、どのCalicoコンポーネントをデプロイするか、どのデータストアを使用するか、どのデータプレーンを選択するか、IPプールの設定など、Calicoクラスタ全体の基本的な構成を定義します。

Installationリソースの例（Kubernetes API Datastore, IPIPデータプレーンを使用する場合）：

yaml
apiVersion: operator.tigera.io/v1
kind: Installation
metadata:
name: default
spec:
kubernetesProvider: AutoDiscover # または DockerDesktop, EKS, GKE, OpenShift など
calicoNetwork:
ipPools:
- cidr: 192.168.0.0/16
blockSize: 26
ipipMode: Always # または Never, CrossSubnet
natOutgoing: Enabled
dataStoreRef:
name: kubernetes # または etcd

このInstallationリソースをYAMLファイルとして保存し、kubectl apply -f <installation.yaml>で適用します。

OperatorはInstallationリソースを監視し、その定義に基づいてCalicoコンポーネント（Felix, BGP Listener, Typhaなど）を適切なNamespace（デフォルトはcalico-system）にDeploymentやDaemonSetとしてデプロイします。

3. IPプールの設定:

上記のInstallationリソースでIPプールを定義しましたが、インストール後に別途IPPoolリソースを作成して追加のIPプールを定義することも可能です。

yaml
apiVersion: crd.projectcalico.org/v1
kind: IPPool
metadata:
name: secondary-ipv4-ippool
spec:
cidr: 172.16.0.0/16
blockSize: 26
ipipMode: Never # このプールのアドレスではIPIPを使わない
natOutgoing: Enabled

PodのIPアドレス割り当て時に、どのIPプールを使用するかは、PodのAnnotation (cni.projectcalico.org/ipv4pools または cni.projectcalico.org/ipv6pools) で指定できます。指定しない場合は、利用可能なIPプールから自動的に割り当てられます。

4. データプレーンの選択と設定:

InstallationリソースのcalicoNetwork.dataPlaneフィールドやipPoolsのipipMode/vxlanModeフィールドでデータプレーンを選択します。

• ipipMode: Always, Never, CrossSubnet
• vxlanMode: Always, Never, CrossSubnet
• dataPlane: 标准的 (デフォルト, iptablesベース), 菜单 (eBPFベース) など。

例えば、eBPFデータプレーンを使用する場合は、Installationリソースで以下のように設定します。

yaml
apiVersion: operator.tigera.io/v1
kind: Installation
metadata:
name: default
spec:
# ... その他の設定 ...
calicoNetwork:
dataPlane: Iptables # または VXLan, BGP, Wireguard, None (eBPF)
# ... IPプール設定など ...
# eBPFデータプレーンを選択する場合は、適切なカーネルバージョンと設定が必要です。
# 現在のCalico Operatorでは、dataPlaneフィールドの指定方法がバージョンによって異なります。
# 最新のドキュメントを確認してください。例えば tigera-operator v1.26 以降では
# calicoNetwork.linuxPolicyEnforcement: BPF と設定します。
(注: 上記のeBPF設定例はバージョンによって異なるため、必ず公式ドキュメントを確認してください。例えば、spec.calicoNetwork.linuxPolicyEnforcement: BPF と指定する場合もあります。)

BGPによる直接ルーティングを使用する場合は、カプセル化モードをNeverに設定し、必要に応じてBGPConfigurationやBGPPeerリソースでBGPピアリングを設定します。

yaml
apiVersion: crd.projectcalico.org/v1
kind: BGPConfiguration
metadata:
name: default
spec:
logSeverityScreen: Info
nodeToNodeMeshEnabled: true # または false (Route Reflectorを使用する場合)
asNumber: 64512 # クラスタ全体のAS番号

BGPPeerリソースで外部ルーターや他のノードと個別にBGPピアリングを設定することも可能です。

yaml
apiVersion: crd.projectcalico.org/v1
kind: BGPPeer
metadata:
name: router-peer
spec:
peerIP: 10.0.0.1 # ピアのIPアドレス
asNumber: 65000 # ピアのAS番号
scope: Global # 全ノードに適用 (NodeScopeも指定可能)

これらの設定により、CalicoがKubernetesクラスタにデプロイされ、基本的なネットワーク機能とセキュリティポリシー適用機能が有効になります。

Calicoの運用とトラブルシューティング

Calicoを安定して運用し、問題発生時に迅速に対応するためには、適切な監視とトラブルシューティング手法を知っておくことが重要です。

1. ログの確認:

Calicoコンポーネント（Felix, BGP Listener, Typhaなど）のPodは、標準出力にログを出力します。これらのログを確認することで、Calicoの動作状況やエラー情報を把握できます。

“`bash

CalicoコンポーネントのPod一覧を確認

kubectl get pods -n calico-system

特定のPodのログを確認

kubectl logs -n calico-system

または、継続的にログを追う

kubectl logs -n calico-system -f
“`

特にFelixのログは、ポリシーの適用状況、ルーティング情報の交換、エラー発生時の詳細な情報が含まれていることが多いです。

2. calicoctl を使ったデバッグ:

前述のcalicoctlコマンドは、Calico固有の情報にアクセスするために非常に役立ちます。

• 状態確認:
  bash
calicoctl status
calicoctl node <node-name> status
  これにより、Felixが稼働しているか、データストアに接続できているか、BGPピアリングが確立されているかなどの基本的な状態を確認できます。

• IPAM情報の確認:
  bash
calicoctl ipam show
calicoctl ipam show --show-blocks
  これにより、IPプールの使用状況、割り当てられたブロック、各ノードへのブロック割り当て状況などを確認できます。IPアドレスが枯渇しているなどの問題を特定できます。

• ポリシーの確認:
  bash
calicoctl get networkpolicy --all-namespaces
calicoctl get globalnetworkpolicy
  定義されているNetworkPolicyやGlobalNetworkPolicyを確認できます。ポリシーのスペルミスやセレクターの間違いなどがないか確認するのに役立ちます。

• 適用されているルールの確認 (iptables/eBPF):

  • iptablesデータプレーンの場合、ノード上でiptables-save | grep cali などのコマンドを使ってCalicoによって設定されたiptablesルールを直接確認できます。ただし、ルールは複雑であり、直接解読するのは難しい場合があります。
  • eBPFデータプレーンの場合、bpftool などのツールを使ってロードされているeBPFプログラムやマップを確認できます。Calico Enterpriseでは、これらの可視化ツールがより強化されています。

3. ネットワークポリシーのテスト:

ポリシーが意図通りに機能しているか確認するには、対象のPodから別のPodへの通信を実際に試すのが最も確実です。

• デバッグ用のPodを起動し、curl や nc (netcat) などのツールを使って通信テストを行います。

  “`bash
  kubectl run –rm -it –image=ubuntu:latest — bash

  Pod内で curl : または nc -zv

  “`

• calicoctl policy test コマンド（Calico Enterpriseの一部機能）や、Network Policy TesterのようなOSSツールを使うと、ポリシーシミュレーションを行うことができます。

4. 一般的な問題とその解決策:

• Pod間の通信不可:

  • 原因: NetworkPolicy/GlobalNetworkPolicyによって通信が拒否されている可能性が最も高いです。IPAMの問題（IPアドレスが割り当てられていない、重複）やルーティングの問題（BGPピアリング失敗、ルーティングテーブル不正）も考えられます。
  • 調査:
    • calicoctl status でCalicoコンポーネントが正常か確認。
    • 対象Podに適用されているNetworkPolicy/GlobalNetworkPolicyを確認し、意図しないDenyルールやAllowルールの不足がないか確認します。calicoctl get networkpolicy --show-rules や calicoctl get globalnetworkpolicy --show-rules が役立ちます。
    • calicoctl node <node-name> status でそのノードのFelixやBGPの状態を確認。
    • 送信元/宛先ノード間のルーティングテーブルを確認（ip route show）。
    • 対象PodのIPアドレスが正しく割り当てられているか確認 (kubectl get pod <pod-name> -o wide)。
    • 可能であれば、tcpdumpなどでノードやPodインターフェース上のパケットの流れを追跡します。
  • 解決策: ポリシーの修正、Calicoコンポーネントの再起動、ノードネットワーク設定の確認など。

• 外部サービスへのアクセス不可 (Egress通信):

  • 原因: Egressポリシーによる拒否、SNAT設定の問題、基盤ネットワークのファイアウォール、外部DNS解決の問題など。
  • 調査:
    • Egressポリシーを確認します。
    • IPプール設定でnatOutgoing: Enabledになっているか確認します。
    • クラスタ外部へのルーティングが正しく設定されているか確認します。
  • 解決策: Egressポリシーの修正、SNAT設定の確認、基盤ネットワークの確認。

• DNS解決不可:

  • 原因: CoreDNS Podへの通信がNetworkPolicy/GlobalNetworkPolicyによって拒否されている。
  • 調査: kube-system NamespaceにあるCoreDNS PodへのUDP 53番ポートへのEgress/Ingress通信が許可されているか確認します。多くのCalicoインストールでは、CoreDNSへのアクセスを許可するデフォルトポリシーが設定されていますが、意図せず上書きされている可能性があります。
  • 解決策: CoreDNSへの通信を許可するNetworkPolicy/GlobalNetworkPolicyを追加または修正します。

Calicoのトラブルシューティングは、Kubernetes、Linuxネットワークスタック、そしてCalico自身のコンポーネントと設定という複数のレイヤーにまたがる知識が必要になります。公式ドキュメントのトラブルシューティングガイドも非常に参考になります。

Calicoの高度な機能

Calicoは、基本的なネットワーク接続とセキュリティポリシー機能に加え、いくつかの高度な機能も提供しています。

• 跨クラスタサービス (Federated Services): Calico Enterpriseの機能として、複数のKubernetesクラスタに跨るService Discoveryと負荷分散を可能にします。異なるクラスタにデプロイされたPod間での直接通信や、単一のService IPで複数のクラスタのPodにアクセスするなどを実現できます。
• Wireguardデータプレーン: 前述のように、ノード間の通信をWireguard VPNで暗号化できます。セキュリティ要件が高い環境やパブリッククラウド環境で有用です。
• IPsec/Wireguard Encryption: Calicoは、ノード間通信の暗号化オプションとしてIPsecまたはWireguardをサポートしています。これにより、パケットがネットワークを通過する際に盗聴されるリスクを低減できます。Operator経由で簡単に有効化できます。
• CNIにおけるTraffic Shaping: Calicoは、一部のデータプレーンにおいて、特定のPodやトラフィックに対して帯域幅制限（Traffic Shaping）を適用する機能を提供します。
• 可観測性 (Flow Logs, Metrics): Calico Enterpriseは、ネットワークトラフィックのフローログを収集し、分析する機能を提供します。これにより、ネットワーク通信の状況、ポリシーによって拒否された通信、通信パターンなどを詳細に把握でき、デバッグやセキュリティ監査に役立ちます。また、Prometheusなどの監視システムと連携して、Calicoコンポーネントのメトリクス（BGPピアの状態、iptablesルールの数、eBPFマップの使用率など）を収集することも可能です。

これらの高度な機能は、特定のユースケースやエンタープライズ要件を持つ環境でCalicoの価値をさらに高めます。

他のCNIとの比較（簡単な比較）

Calicoは多くのCNIプラグインの中の一つですが、それぞれに得意とする領域や特徴があります。簡単に他の主要なCNIと比較してみましょう。

• Flannel:

  • 特徴: シンプルで軽量。主にOverlayネットワーク（VXLAN、UDPなど）を使用してPod間接続を提供します。
  • 強み: セットアップが容易で、小規模クラスタや検証環境でよく利用されます。
  • 弱み: 標準でネットワークポリシー機能は提供しません。セキュリティが必要な場合は、Calico Policyなど別のポリシーエンジンと組み合わせて使用する必要があります（これがCalicoとFlannelを組み合わせたCanalプロジェクトにつながりましたが、現在はCalico単体での利用が主流です）。

• Cilium:

  • 特徴: eBPFを積極的に活用したCNIです。高いパフォーマンス、Service Meshのような高度な機能、アプリケーションレイヤー（HTTP, gRPCなど）でのポリシー適用、詳細な可視性などが強みです。
  • 強み: 最新の技術を活用し、非常に高機能で高性能です。アプリケーションレベルのセキュリティポリシー（例: サービスAからサービスBへのHTTP GETメソッドのみ許可）を定義できます。
  • 弱み: eBPFに依存するため、比較的新しいLinuxカーネルバージョンが必要です。機能が豊富な分、設定や理解がCalicoより複雑になる場合があります。

• Canal:

  • 特徴: Flannelのネットワーク機能とCalicoのネットワークポリシー機能を組み合わせたCNIです。
  • 強み: FlannelのシンプルさとCalico Policyの豊富なセキュリティ機能を両立できます。
  • 弱み: 運用上、FlannelとCalicoの両方のコンポーネントを管理する必要があり、Calico単体構成（IPIPやVXLANデータプレーン）の方がシンプルになる場合があります。Calico単体でもIPIPやVXLANをサポートしているため、Canalの必要性は低下しています。

• Antrea:

  • 特徴: VMwareによって開発されているCNIです。Open vSwitch (OVS) をデータプレーンとして使用し、Flowsやグループベースのポリシーを特徴とします。
  • 強み: OVSを活用した高度なネットワーク機能や可観測性を提供します。VMware製品との親和性が高い可能性があります。
  • 弱み: CalicoやCiliumと比較すると、採用事例やコミュニティの規模はまだ小さいかもしれません。

Calicoが選ばれる主な理由:

• 実績と安定性: 大規模な本番環境での豊富な導入実績があり、非常に安定しています。
• 柔軟なデータプレーン: BGPによる直接ルーティング、IPIP、VXLAN、eBPF、Wireguardなど、様々なネットワーク環境や要件に対応できるデータプレーンを選択できます。
• 強力なセキュリティポリシー: Kubernetes NetworkPolicyの完全サポートに加え、GlobalNetworkPolicyやPolicy Tiersなど、エンタープライズグレードの高度なポリシー機能を提供します。
• ハイブリッド/マルチクラウド対応: Kubernetesだけでなく、VMやベアメタルサーバーにもCalicoエージェントをデプロイできるため、Kubernetes内外にまたがる一貫したネットワークとセキュリティポリシーを適用できます。
• 運用管理性: Kubernetes APIデータストアとOperatorの使用により、Kubernetesネイティブな運用が可能です。

Calicoは、特に既存のネットワークインフラストラクチャ（BGPなど）を活用したい場合や、Pod間だけでなくノードレベルやクラスタ全体の堅牢なセキュリティポリシーを適用したい場合に非常に有力な選択肢となります。

まとめ

Kubernetesにおけるネットワークは、Pod間の通信、Serviceへのアクセス、そしてセキュリティを確保するための基盤です。CNIプラグインは、この基盤を提供するための標準的な方法であり、様々な選択肢があります。

Calicoは、その中でも特に強力なネットワーク接続機能と高度なネットワークセキュリティポリシー機能を提供する、成熟したエンタープライズグレードのCNIソリューションです。

Calicoの主要な特徴を改めてまとめると以下のようになります。

• シンプルかつスケーラブルなIPネットワーキング: BGPによるルーティングや多様なデータプレーン（IPIP, VXLAN, eBPF, Wireguard）の選択肢を提供し、大規模環境での高いパフォーマンスとスケーラビリティを実現します。
• 包括的なIPアドレス管理 (IPAM): IPプールによる柔軟なアドレス管理と、重複しないアドレスの割り当てを行います。
• 強力なネットワークセキュリティポリシー: Kubernetes標準のNetworkPolicyに加え、クラスタ全体のGlobalNetworkPolicy、HostEndpoint、Policy Tiersなど、きめ細かく柔軟なアクセス制御を可能にします。ゼロトラストセキュリティモデルの実装に適しています。
• 堅牢なアーキテクチャ: Felix、BGP Client/Route Reflector、データストア（Kubernetes API推奨）、Typhaといったコンポーネントが連携し、高い信頼性を提供します。
• 容易な導入と運用: Calico OperatorによるKubernetesネイティブなインストールと管理、calicoctlによるデバッグ・運用サポートが充実しています。
• ハイブリッド/マルチクラウド対応: Kubernetesワークロードだけでなく、VMやベアメタルワークロードにもポリシーを適用でき、ハイブリッド環境での一貫したセキュリティポリシーを実現します。

Calicoは、シンプルさと強力なポリシー機能、そして高いスケーラビリティが求められるあらゆる規模のKubernetes環境、特にエンタープライズ環境や複数のクラスタを運用する環境において、非常に優れた選択肢となります。ネットワーク接続性とセキュリティポリシーを統合的に管理できるCalicoは、Kubernetesを用いたクラウドネイティブなアプリケーション開発・運用において、安定かつ安全な基盤を提供してくれるでしょう。

この記事を通して、CalicoがKubernetesネットワークとセキュリティにおいてどのように機能し、どのような価値を提供しているのか、深く理解していただけたなら幸いです。Calicoの導入や運用を検討されている方々にとって、この記事がその一助となれば何よりです。

---