数百クラスタを支えるKaaS基盤のネットワーク設計 — Multi-NIC による VPC 隔離環境の実践

KaaS基盤において管理クラスタと各ユーザークラスタのVPCネットワーク隔離はセキュリティの要です。しかし、隔離性を維持しつつ必要最低限の疎通性をどう確保するかが、設計上の課題となります。
単一のVPCのみで構成した場合、管理系NWからユーザーのVPCのVMに対して接続できてしまったり、VPC内の他のVMからも管理系NWに接続できてしまう状態になります。そこで両VPCのNICを持つVMを構築しVM単位でネットワーク制御する Multi-NIC 構成を採用し、制御系の通信は専用のVPCにのみ閉じるようにしました。
本セッションでは、VPCネットワーク隔離環境での設計とVM単位の制御の内容を共有します。
- Multi-NIC 構築のための Cluster API Provider 設計
- Multi-NIC に対する Custom Controller を用いた動的ネットワーク制御の仕組み
- クラスタ作成時のネットワーク制御（鶏卵問題）の解決策

数百クラスター規模のKaaS基盤の実践から、VPC隔離環境でのネットワーク制御の実践方法を提供します。