Red Hat SummitConnectivity Link の概要
マルチクラウドアプリケーションの接続および API 管理
概要
はじめに
Red Hat ドキュメントへのフィードバック (英語のみ)
製品ドキュメントに関するご意見をお寄せください。
改善を提案するには、Jira 課題を作成し、変更案を説明してください。ドキュメントチームがご要望に迅速に対応できるよう、できるだけ詳細にご記入ください。
前提条件
- Red Hat カスタマーポータルのアカウントがある。このアカウントを使用すると、Red Hat Jira Software インスタンスにログインできます。アカウントをお持ちでない場合は、アカウントを作成するように求められます。
手順
- Create issue にアクセスします。
- Summary テキストボックスに、問題の簡単な説明を入力します。
Description テキストボックスに、次の情報を入力します。
- 問題が見つかったページの URL。
- 問題の詳細情報。他のフィールドは、そのままデフォルト値にできます。
- Reporter フィールドに Jira ユーザー名を入力します。
- Create をクリックして、Jira 課題をドキュメントチームに送信します。
フィードバックをご提供いただきありがとうございました。
第1章 Red Hat Connectivity Link の概要
Red Hat Connectivity Link は、マルチクラウドおよびハイブリッドクラウド環境におけるアプリケーション接続、ポリシー管理、API 管理のための柔軟性に優れたモジュラーソリューションです。Connectivity Link を使用すると、API、アプリケーション、インフラストラクチャーを保護、接続、監視できます。
Connectivity Link は Kuadrant コミュニティープロジェクトに基づいており、プラットフォームエンジニア、アプリケーション開発者、ビジネスユーザーなどの特定のユーザーロールを対象としています。
1.1. Red Hat Connectivity Link のアーキテクチャー
以下の図は、Connectivity Link アーキテクチャーと、その主な機能およびテクノロジーの概要を示しています。
図1.1 Connectivity Link のアーキテクチャー概要
Connectivity Link は、Kubernetes Gateway API 標準をベースとする Ingress ゲートウェイを設定およびデプロイするためのコントロールプレーンを提供します。このコントロールプレーンは、プラットフォームエンジニア向けに Kubernetes ネイティブ API を提供します。これは、ゲートウェイに証明書を管理するための TLS ポリシー、認証および認可ポリシー、流量制御ポリシー、およびマルチクラスター負荷分散、ヘルスチェック、修復のための DNS ポリシーを設定するために使用します。
Connectivity Link は、認証、認可、流量制御によってアプリケーションと API を安全に保護するためのデータプレーンポリシーもアプリケーション開発者に提供します。さらに、Connectivity Link は、すべてのユーザーロールに対して、可観測性ダッシュボード、メトリクス、トレース、アラートのテンプレートを提供します。
Connectivity Link は、Istio コミュニティープロジェクトに基づく Gateway API プロバイダーとして OpenShift Service Mesh 3.0 をサポートします。
第2章 Connectivity Link の機能
Connectivity Link には、クラウドアプリケーションと API を保護、接続、および観察するための次の主な機能が含まれています。
- マルチクラウドアプリケーションの接続性
DNS プロバイダーの統合:
- Amazon Route 53
- Google Cloud DNS
- MicroSoft Azure DNS
- CoreDNS (開発者プレビューのみ)
- 高可用性および障害復旧
- グローバル負荷分散
- アプリケーションの移植性
- アプリケーションの接続設定
- エンドポイントの健全性とステータスのチェック
- TLS 証明書の自動生成
- 汎用認証
- Kubernetes Ingress ポリシーの管理
- グローバル DNS ポリシー
- TLS ポリシー
- 認証ポリシー
- 流量制御ポリシー
- トラフィックの重み付けと分散
- ユーザーロールベースの設計
- マルチクラスター管理
- 可観測性ダッシュボードとアラート
- OpenShift Web コンソールの動的プラグイン
- コンポーザブル API の管理
- API セキュリティーとガバナンス
- 高度な API メトリクス収集
- API レベルの認証、認可、および流量制御ポリシー
- オープンソースツールとの柔軟な統合
第3章 Connectivity Link のテクノロジーとパターン
以下は、Connectivity Link が提供する主なテクノロジーとパターンです。
- Gateway API
ゲートウェイは、アプリケーションの接続およびセキュリティーにおいて重要な役割を担います。Kubernetes ベースの環境では、Gateway API が Ingress ゲートウェイをデプロイし、アプリケーションネットワークを管理するための新しい標準です。
Gateway API は、Ingress トラフィック管理用の標準化された API を提供し、複数のプロトコルをサポートします。Gateway API はユーザーペルソナの役割を想定して設計されており、設定の柔軟性と移植性を提供します。Gateway API を使用して各 OpenShift クラスターに Ingress ポリシーを設定することで、同一性、一貫性、実装の容易性を確保できます。
図3.1 Gateway API ユーザーペルソナベースの設計
通常、インフラストラクチャー所有者は、Amazon Web Services や Google Cloud Platform などのクラウドプロバイダーに基づいて複数のクラスターをホストするインフラストラクチャーを担当します。
プラットフォームエンジニアは、Gateway、ポリシー、ネットワークアクセス、アプリケーションの権限の管理など、ユーザー要件を満たすクラスターを管理します。アプリケーション開発者は、アプリケーション認証、流量制御、タイムアウト、バックエンドサービスへのルーティングなど、クラスターで実行されるアプリケーションを作成および管理します。
- ポリシーベースの設定
プラットフォームエンジニアやアプリケーション開発者は、Kubernetes カスタムリソース定義 (CRD) として定義された Connectivity Link ポリシーを使用して、簡単にアプリケーションとインフラストラクチャーの安全性を保護し、接続できます。Connectivity Link では、TLS、認証と認可、流量制御、および DNS を管理するためのポリシーを使用できます。
ポリシーアタッチメント パターンは、オブジェクト
specフィールドで記述できない設定を使用して、Kubernetes オブジェクトに動作を追加する方法を提供します。ポリシーアタッチメントでは、デフォルトとオーバーライドの概念も提供されます。これにより、オブジェクト階層の各レベルのポリシー API で各種ロールを使用できます。これらのポリシーは、特定のルールおよびストラテジーにマージされ、効果的なポリシーを形成します。以下に示すシンプルな流量制御ポリシーは、独自の流量制御ポリシーが定義されていないターゲット Gateway で定義された各リスナーに対し、10 秒ごとのリクエスト数を 5 個に指定する制限を設定します。
シンプルな流量制御ポリシーの例
apiVersion: kuadrant.io/v1 kind: RateLimitPolicy metadata: name: gw-rlp spec: targetRef: # Specifies Gateway API policy attachment group: gateway.networking.k8s.io kind: Gateway name: external defaults: # Means it can be overridden limits: # Limitador component configuration "global": rates: - limit: 5 window: 10sapiVersion: kuadrant.io/v1 kind: RateLimitPolicy metadata: name: gw-rlp spec: targetRef: # Specifies Gateway API policy attachment group: gateway.networking.k8s.io kind: Gateway name: external defaults: # Means it can be overridden limits: # Limitador component configuration "global": rates: - limit: 5 window: 10sCopy to Clipboard Copied! - WebAssembly プラグイン
Connectivity Link は、他の接続管理システムのようなスタンドアロン Gateway ではありません。Connectivity Link は、Envoy プロキシー用に開発された WebAssembly (WASM) プラグインです。つまり、Ingress に OpenShift Service Mesh、Istio、または Envoy を使用しているユーザーは、Connectivity Link を使用するために既存の Ingress オブジェクトとポリシーに大きな変更を加える必要はありません。
また、WebAssembly プラグインの設計特性として、Connectivity Link も軽量、高速、ハードウェアへの非依存、非侵入的、セキュアです。
- マルチクラスター設定ミラーリング
Connectivity Link では、マルチクラウド環境とハイブリッドクラウド環境全体でマルチクラスター設定ミラーリングを使用して、ルーティング、設定、およびポリシーを必要な場所にデプロイできます。クラウドサービスプロバイダーに応じて異なるポリシーを異なる方法で設定する必要がなくなりました。代わりに、Connectivity Link を使用して一貫した方法でポリシーを設定し、デプロイできます。
また、開発環境、テスト環境、実稼働環境が同じように設定されていることを確認して、後で予期せぬ事態が発生するのを防ぐこともできます。つまり Connectivity Link を使用することで、一貫性、シンプルさ、統一されたエクスペリエンス、グローバル管理、セキュリティーコンプライアンスを確保できます。
図3.2 マルチクラウド環境およびハイブリッドクラウド環境でのマルチクラスター設定ミラーリング
- API 接続と API 管理
Connectivity Link は、他の製品が提供する従来の API 管理機能を超えた次世代の API 管理アプローチを提供します。
API 管理には接続が必要です。Connectivity Link は、API の監視、認証、流量制御などの API 管理機能に加えて、スケーラブルなマルチクラスターおよびマルチ Gateway の接続管理を提供します。
図3.3 Connectivity Link の API 管理と接続性
第4章 Connectivity Link のポリシー API と可観測性
このセクションでは、Connectivity Link のコアポリシー API と可観測性機能を説明します。この機能を使用して、クラウドアプリケーションと API のセキュリティー確保、保護、接続、監視に使用できます。
4.1. Connectivity Link のポリシー API
- TLSPolicy でアプリケーションを保護する
- ターゲット Gateway の TLS を管理するための軽量ラッパー API。
- cert-manager および ACME プロバイダー (Let's Encrypt など) との統合を使用して、Gateway リスナーホストに基づき TLS 証明書を自動的にプロビジョニングします。
- 準備完了時に Gateway がシークレットを自動的に取得するようにシークレットを設定します。
- AuthPolicy でアプリケーションを保護する
- Gateway のすべてまたは特定のリスナー、もしくは HTTPRoute または HTTPRouteRule レベルで、認証と認可を適用します。
- 階層とロールに基づくデフォルトおよびオーバーライドの概念を使用して、連携を改善し、コンプライアンスを確保します。
- Red Hat build of Keycloak などの専用認証プロバイダーを活用します。
- リクエストおよびメタデータ属性に基づき、細かく調整された認可リクエストを適用します。
- RateLimitPolicy でアプリケーションを保護する
- Gateway、もしくは HTTPRoute または HTTPRouteRule レベル内のすべてのリスナーに、流量制御ルールを適用します。
- デフォルトとオーバーライドのロールベースの階層的な概念を使用して、連携を改善し、コンプライアンスを確保します。
- メタデータとリクエストデータに基づき、制限を条件付きで設定します。
- マルチクラスター環境のバックエンドストアを使用してカウンターを共有します。
- アプリケーションを DNSPolicy に接続する
- カスタムアノテーションに基づかない標準 API。
- Gateway API リソースが公開するリスナーのホストおよびアドレスに基づき、DNS レコードを自動的に入力します。
- 地理的なレスポンスや重み付きのレスポンスなど、マルチクラスター接続およびルーティングオプションを設定します。
- 一般的なクラウド DNS プロバイダー (Amazon Route 53、Microsoft Azure DNS、Google Cloud DNS、CoreDNS) を活用します。
- DNS フェイルオーバーを有効にするためにヘルスチェックを設定します。
4.2. Connectivity Link の可観測性
Connectivity Link では、Kuadrant で管理される Gateway API の状態メトリクス、Connectivity Link コンポーネントで公開されるメトリクス、および Envoy で公開される標準メトリクスを使用して、テンプレートアラートとダッシュボードを構築します。これらの Kuadrant コミュニティーテンプレートをダウンロードし、Grafana、Prometheus、および Alertmanager デプロイメントと統合したり、特定のニーズに応じて変更したりできます。
図4.1 プラットフォームエンジニア向け Grafana ダッシュボード
プラットフォームエンジニアダッシュボードには、以下のような詳細が表示されます。
- ポリシーコンプライアンスおよびガバナンス。
- リソースの消費。
- エラーレート。
- リクエストのレイテンシーおよびスループット。
- API エラーレートおよびレイテンシーに関するマルチウィンドウ、マルチバーンアラートテンプレート。
- マルチクラスター分割。
図4.2 アプリケーション開発者向け Grafana ダッシュボード
アプリケーション開発者ダッシュボードは、API とアプリケーションを中心に据えたダッシュボードで、プラットフォームエンジニアダッシュボードほどポリシーに重点を置いていません。このダッシュボードには、たとえば API ごとのリクエストレイテンシーやスループット、API パスごとの合計リクエスト数やエラーレートなどの詳細が含まれます。
図4.3 ビジネスユーザー向け Grafana ダッシュボード
ビジネスユーザーダッシュボードには、以下のような情報が含まれます。
- API ごとの 1 秒あたりのリクエスト数。
- 指定された時間における API 使用率の増減。
第5章 Connectivity Link の利点
Connectivity Link には、ビジネスに関連する以下の主要な利点があります。
- ユーザーロール指向
Gateway API は、インフラストラクチャー所有者、クラスターオペレーター、およびアプリケーション開発者の組織の役割に対応する API リソースで構成されています。インフラストラクチャー所有者とクラスターオペレーターは、連携していないさまざまなアプリケーション開発チームがどのように共有インフラストラクチャーを使用できるかを定義するプラットフォームエンジニアです。
アプリケーション開発者は、クラスターで実行されるアプリケーションを作成し、管理します。これには、API の作成と、アプリケーションタイムアウト、リクエストのマッチング、およびバックエンドへのパスルーティングの管理が含まれます。
- Kubernetes ネイティブ
- Connectivity Link は、リソース効率と最適な使用のために Kubernetes ネイティブ機能を使用するように設計されています。これらの機能は、任意のパブリックまたはプライベートの OpenShift クラスターで実行でき、デフォルトでマルチクラウドおよびハイブリッドクラウドの動作が可能です。OpenShift の高い拡張性、回復力、可用性が実証されています。
- 簡潔な設定
- Gateway API リソースは、ヘッダーベースのマッチング機能とトラフィックの重み付け機能に加え、カスタムアノテーションとカスタムコードを使用することで、既存の Ingress 標準でのみ可能なその他のビルトイン機能を提供します。これにより、カスタムコードを作成しなくても、よりインテリジェントなルーティング、セキュリティー、特定ルートの分離が可能になります。
- 移植性
- Gateway API は、多くの実装を含むオープンソース標準であり、柔軟な適合の概念を使用して設計されています。これにより、環境および実装のネイティブ機能をサポートするための柔軟性と拡張性を備えた、移植性の高いコア API がプロモートされます。その結果、実装や環境またいで概念とコアリソースの一貫性が維持され、複雑さが緩和され、熟練度が向上します。
- ハイブリッドクラウドとマルチクラウド
Connectivity Link には、パブリッククラウドまたはプライベートクラウドでホストされる任意の OpenShift クラスターに同じアプリケーションをデプロイできる柔軟性を備えています。そのため、特定のクラウドプロバイダーに固定されることで発生する単一の依存関係または単一障害点が解消されます。
たとえば、あるクラウドプロバイダーでネットワークの問題が発生した場合は、デプロイメントとトラフィックを別のプロバイダーに切り替えて、お客様への影響を最小化することができます。これにより高可用性および障害復旧が可能になり、予期しない事態の発生に備え、サービスの中断を回避し、プラットフォームとアプリケーションの回復力を確保できます。
- Infrastructure as code
- コードを使用して、バージョン管理の実施とテストが実行され、容易に複製できるインフラストラクチャーを定義できます。自動スケーリングは、OpenShift の自動スケーリング機能を利用して、ワークロードのニーズに基づきリソースを動的に調整します。これには、OpenShift クラスターを完全に可視化するための堅牢な監視およびロギングソリューションを実装する機能も含まれています。
- モジュール式と柔軟性
Connectivity Link の柔軟性の高いモジュラーアーキテクチャーでは、既存のテクノロジーとツールも使用できますが、接続管理プラットフォームに接続して最大限の効果を得ることもできます。これには、次のようなテクノロジーとツールが含まれます。
- クラウドサービスプロバイダー: Amazon Web Services、Google Cloud Platform、Microsoft Azure
- DNS プロバイダー: Amazon Route 53、Google Cloud DNS、Microsoft Azure DNS、CoreDNS
- Gateway API コントローラー: OpenShift、OpenShift Service Mesh
- メトリクスとアラート: Prometheus、Thanos、Kiali
- ダッシュボード: Grafana、Red Hat Developer Hub
- GitOps と自動化: Red Hat Ansible Automation Platform、OpenShift GitOps、GitHub
- 追加の統合: Red Hat build of Keycloak、Red Hat Service Interconnect
第6章 Connectivity Link のユーザーワークフロー
Connectivity Link には、次の主要なユーザーペルソナロールがあります。
- プラットフォームエンジニア
- アプリケーション開発者
- ビジネスユーザー
6.1. プラットフォームエンジニアのワークフロー
プラットフォームエンジニアは、Connectivity Link を使用して特定のリージョンの OpenShift クラスターに Ingress Gateway を設定します。これにより、すべてのポリシーがすべての Gateway で同一に設定されるようになり、一貫性が保たれます。
たとえばプラットフォームエンジニアは、ブラジルのお客様が南アメリカのデータセンターにルーティングされ、世界中のその他のお客様も適切な環境にルーティングされるように DNS ポリシーを設定します。また、Gateway のセキュリティー、パフォーマンス、および監視が適切な標準に準拠するように、TLS、認証と認可、流量制御ポリシーを設定します。
次の図は、Connectivity Link におけるプラットフォームエンジニアのワークフローの概要を示しています。
図6.1 Connectivity Link プラットフォームエンジニアによる Gateway の設定
Gateway が作成されていない場合、プラットフォームエンジニアはまず 1 つ以上のゲートウェイを作成する必要があります。
図6.2 Connectivity Link プラットフォームエンジニアによる Gateway ポリシーの設定
Gateway を接続するには、DNS ポリシーを作成してグローバル負荷分散ストラテジーを設定します。DNS レコードは、シングルクラスター環境かマルチクラスター環境かにかかわらず、自動的にクラウド DNS プロバイダーに対して調整されます。
Gateway で指定されたホスト名の証明書リクエストを自動生成する TLS ポリシーを使用して、ゲートウェイを保護できます。これには、Let's Encrypt などの主要な ACME プロバイダーのサポートが含まれます。認証認可ポリシーと流量制御ポリシーを使用して、アプリケーションセキュリティーのデフォルトとオーバーライドを設定することもできます。
さらに、Grafana ベースのダッシュボードおよびアラートを使用して、接続およびランタイムメトリクスを観測できます。これには、たとえばポリシーのコンプライアンスとガバナンス、リソース消費、エラーレート、リクエストのレイテンシーとスループット、マルチクラスターの分割などが含まれます。
6.2. アプリケーション開発者のワークフロー
アプリケーション開発者は Connectivity Link を使用して、プラットフォームエンジニアがセットアップした OpenShift クラスターや Gateway にアプリケーションと API をデプロイします。アプリケーション開発者は、アプリケーションと API が必須の認証および認可により保護されるようにし、API リクエストに対する流量制御を設定します。また、アプリケーションルートおよび API 定義を設定して、クラスターに公開します。
アプリケーション開発者は Grafana ダッシュボードを使用して、アップタイム、1 秒あたりのリクエスト数、レイテンシー、1 分あたりのエラー数などの API メトリクスを表示し、他のデータセンターで達成されたパフォーマンスと可用性のベンチマークを API が満たしているか確認します。次の図は、Connectivity Link におけるアプリケーション開発者のワークフローの概要を示しています。
図6.3 Connectivity Link アプリケーション開発者によるアプリケーションと API のポリシーの設定
アプリケーション開発者は、Gateway からアプリケーションにルーティングし、ルートレベルの認証、外部認可、流量制御を使用してサービスの保護を設定できます。Grafana ベースの可観測性ダッシュボードとアラートを使用して、ワークロードおよび OpenShift リソースメトリクスのステータスを監視および追跡することもできます。
6.3. ビジネスユーザーのワークフロー
アカウントマネージャーやアプリケーション所有者などのビジネスユーザーは、Grafana ベースの可観測性ダッシュボードを使用して、特定のリージョンのデータセンター内のアプリケーションおよび API のステータスを監視し、特定のパフォーマンスメトリクスに対してお客様と連携します。アップタイム、1 秒あたりのリクエスト数、レイテンシー、1 分あたりのエラー数などの API メトリクスを表示し、お客様が求めるパフォーマンスおよび可用性のベンチマークを API が満たしていることを確認します。
また、プラットフォームエンジニアやアプリケーション開発者が解決できる問題がお客様に発生した場合、ビジネスユーザーはエンジニアリングチームを連携します。
付録A Red Hat サブスクリプションの使用
Red Hat Connectivity Link は、ソフトウェアサブスクリプションを通じて提供されます。サブスクリプションを管理するには、Red Hat カスタマーポータルでアカウントにアクセスします。
サブスクリプションの管理
- access.redhat.com に移動します。
- アカウントがない場合は作成します。
- アカウントにログインします。
- メニューバーで Subscriptions をクリックし、サブスクリプションを表示および管理します。
改訂日時: 2025-07-11
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}