Network Policyとは何ですか？

Kubernetesクラスタ内のPod間通信やPodと外部の通信を制御するルール。許可・拒否のルールをラベルベースで定義し、マイクロサービス間のトラフィックを安全に管理できる。

Network Policyのポイントは？

KubernetesでPod間のネットワークトラフィックを制御する仕組み。ラベルセレクタでIngress（受信）・Egress（送信）のルールを定義する。デフォルトではすべての通信が許可されるが、Network Policyを設定すると明示的に許可されたもの以外はブロックされる。CalicoやCiliumなどのCNIプラグインが実際のポリシー適用を担当する

【ネットワークポリシー】

Network Policy とは？

💡 クラスタ内の通信も「通行証」がないと通れない関所

📌 このページのポイント

KubernetesでPod間のネットワークトラフィックを制御する仕組み
ラベルセレクタでIngress（受信）・Egress（送信）のルールを定義する
デフォルトではすべての通信が許可されるが、Network Policyを設定すると明示的に許可されたもの以外はブロックされる
CalicoやCiliumなどのCNI プラグインが実際のポリシー適用を担当する

Network Policyのイメージ

ひよこ

Kubernetesの中って、Pod同士は自由に通信できるの？

ペンギン先生

デフォルトではそうなんだ。でもそれだとセキュリティ的にまずいよね。たとえば、フロントエンドのPodから直接データベースのPodにアクセスできちゃうと困るでしょ？

ひよこ

確かに！それを制限するのがNetwork Policyなの？

ペンギン先生

そのとおり。Network Policyはラベルを使って『このラベルが付いたPodからの通信だけ許可する』みたいなルールを書くんだよ。ファイアウォールのKubernetes版みたいなものだね

ひよこ

設定するだけで使えるようになるのかな？

ペンギン先生

実はNetwork Policyの定義だけでは動かなくて、CalicoやCiliumといったCNI プラグインが必要なんだ。このプラグインが実際にパケットフィルタリングを実行してくれるよ

ひよこ

IngressとEgressって何が違うの？

ペンギン先生

Ingressは受信トラフィック、Egressは送信トラフィックのルールだよ。たとえばデータベース PodにはAPI サーバーからのIngressだけ許可して、外部へのEgressは全部ブロックする、みたいに使うんだ

ひよこ

マイクロサービスが増えると管理が大変そうだね？

ペンギン先生

そこが課題だね。namespace単位でデフォルトDenyポリシーを設定しておいて、必要な通信だけホワイトリスト方式で開けていくのがベストプラクティスだよ。大規模になるとサービスメッシュとの併用も検討するといいね

まとめ：ざっくりこれだけ覚えればOK！

「Network Policy」って出てきたら「Kubernetes内の通信ルール設定」と思えればだいたいOK！

📖 おまけ：英語の意味

「Network Policy」＝ネットワーク方針・規約

💬 「ネットワークのポリシー（方針）」をそのまま名前にしたシンプルな命名だよ

← 用語集にもどる