クラウド基盤におけるWorkloadのIdentityを用いたネットワーク制御とパケットフィルタリングへの適用

Abstract

従来のネットワーク制御では、IPアドレスとポート番号(Locator)を通信するプロセスやコンテナ(Workload)の識別子として用いてきた。しかし、昨今のマイクロサービスアーキテクチャやコンテナ技術を採用するクラウド基盤ではLocatorが大量に使用かつ頻繁に更新される環境となっており、Locatorに頼ったネットワーク制御を行うことが困難になってきている。そこで、本研究ではWorkloadの性質(Identity)のうちネットワーク制御に必要な情報をServiceとしてパケットに付加することにより、Locatorに依存せずにIentityに基づくパケットの処理を行えるシステムを提案する。そして、提案システムを利用したクラウド内のパケットフィルタリング機構を設計・構築し、パケットフィルタリングが実現できることを示す。

Conventional network controls use IP addresses and port numbers (Locators) as identifiers of Workloads like processes and containers. However, in cloud platforms adopting microservices architecture and container technology, Locators are massibly used and frequently updated. This makes it difficult to control network with relying on Locators. In this paper, we propose a new system to process packets based on the Identity of a Workload without depending on Locators, by marking packets with the necessary information extracted from the Identity. We then design and construct a packet filtering mechanism in a cloud platform using the proposed system and show that mechanism can be implemented with the proposed system.