コンテナネットワーキングの仕組み

いい質問だね。コンテナはLinuxの「ネットワーク名前空間」という仕組みで、それぞれ独立したネットワーク環境を持っているんだ。IPアドレスもルーティングテーブルもコンテナごとに別々だよ。

そこで登場するのが「veth（バーチャルイーサネット）ペア」だよ。これは2本セットの仮想LANケーブルみたいなもので、片方をコンテナの名前空間に、もう片方をホスト側に置く。この2本が常に繋がっているから、コンテナとホストの間で通信ができるんだ。

Dockerの場合、「docker0」というブリッジネットワークがデフォルトで作られるよ。これは仮想的なLANスイッチみたいなもので、各コンテナのvethペアがこのブリッジに接続される。同じブリッジに繋がったコンテナ同士は、普通のLAN内の通信と同じように直接やりとりできるんだ。

あれはポートマッピングと呼ばれる機能で、裏側ではiptablesのNATルールが自動的に設定されるよ。ホストの8080番ポートに来たパケットを、コンテナの80番ポートに転送（DNAT）する仕組みだね。docker runのたびにiptablesのルールが追加されていくんだ。

主に4つあるよ。「bridge」がデフォルトで、さっき説明したdocker0ブリッジを使うモード。「host」はコンテナがホストのネットワークをそのまま使うモードで、NATのオーバーヘッドがない分高速だけど隔離性はない。「none」はネットワークなし。そして「overlay」は複数ホスト間でコンテナを繋ぐためのモードだよ。

Kubernetesのネットワークモデルには大事なルールがあるんだ。「すべてのPodはNATなしで他のすべてのPodと直接通信できる」というもの。これを実現するために、Pod間通信、Serviceによるロードバランシング、Ingressによる外部公開という3つのレイヤーで構成されているよ。

そうだよ。CNI（Container Network Interface）はKubernetesのネットワークをプラグイン方式で実装する仕組みだね。Flannelはシンプルなオーバーレイネットワーク、CalicoはBGPを使ったルーティングベース、CiliumはeBPFを活用した高性能型。用途やクラスタの規模で使い分けるんだ。

オーバーレイネットワークは、既存の物理ネットワーク（アンダーレイ）の上に仮想的なネットワークを重ねる技術だよ。多くの場合VXLANが使われていて、コンテナのパケットをUDPでカプセル化して別ホストに送る。受け取った側でカプセルを解いて、中のパケットを目的のコンテナに届ける。手紙を封筒に入れてさらに別の封筒に入れるようなイメージだね。

鋭いね！実はKubernetesでServiceが増えるとiptablesのルールが膨大になって、パケット処理が遅くなる問題があるんだ。そこで注目されているのがCiliumが採用しているeBPFという技術。カーネル内で直接パケットを処理できるから、iptablesのルールチェーンを辿る必要がなくなって、数万Serviceでも高速に動作するよ。

eBPFはネットワークだけじゃなく、セキュリティ監視やトレーシングにも使える汎用的なカーネル技術だよ。Ciliumはこれを活用して、ネットワークポリシーの適用やL7（HTTPレベル）のロードバランシングまでカーネル空間で実現している。従来のkube-proxy + iptablesの仕組みを丸ごと置き換えられるから、大規模クラスタでは事実上の標準になりつつあるね。