Kubernetes Network Visualization with Cilium & Hubble - 2026 Guide

Kubernetesネットワーク可視化の最新手法と導入意義

Kubernetes環境におけるネットワーク監視は、マイクロサービスアーキテクチャの複雑さにより、従来のツールでは対応が難しい課題となっています。CiliumとHubbleの組み合わせはeBPF技術を活用し、リアルタイムなトラフィック可視化とセキュリティポリシーの統合を実現します。本記事では、Kubernetesネットワークの見える化とセキュリティ強化の具体的方法について解説します。

総合的な選定理由と比較

Cilium/Hubbleの導入意義と競合製品との差別化を明確にするとともに、初心者向けに概要を整理します。

Cilium/Hubbleの強み

• eBPF技術による低負荷なネットワーク解析
• 従来のIPtablesやプロキシと比べてパフォーマンスへの影響が最小限
• リアルタイムトラフィック可視化とポリシー統合
• ネットワーク通信の即時監視とセキュリティポリシーの一括管理

競合製品との比較（2026年時点）

Cilium/Hubbleの最大の価値は「eBPF技術によるパフォーマンスと可視化の両立」です。特に、大量トラフィックを発生させるクラウドネイティブ環境では、競合製品に比べて明確な利点があります。

実環境構築の準備: kind/AKS環境構成手順

ローカル開発や本番環境構築において、「kind」と「AKS（Azure Kubernetes Service）」を用いたKubernetesクラスターの構築が推奨されます。それぞれの導入フローと準備に必要な条件をステップ形式で解説します。

kindでのローカルクラスタ構築手順

ローカル環境でのクイックな検証にはkind（Kubernetes IN Docker）が最適です。下記の手順に従って導入してください。

1. 前提条件の確認
2. メモリは2GB以上、CPUは4コア以上を推奨

3. Dockerとkubectlがインストール済みであることを確認

4. kindのインストール
   bash
curl -Lo ./kind https://kind.sigs.k8s.io/dl/v0.15.0/kind-$(uname)-amd64
chmod +x ./kind
sudo mv ./kind /usr/local/bin/

5. クラスターの作成
   bash
kind create cluster --name cilium-test

ローカル環境では、メモリが2GB以上ないとCiliumの起動に失敗する可能性があります。事前にリソースを確保してください。

AKSへのCilium適用前提条件

AKS（Azure Kubernetes Service）上でのCilium導入には、以下の準備が必要です。

1. Azure CLIの認証とクラスター接続

2. CNI変更の権限確認

AKSではデフォルトでAzure CNIが適用されているため、Ciliumへの切り替えにはクラスター管理者権限が必要です。

3. リソース制限設定（必要に応じて）

ノード数が少ない場合、以下のようにカスタムリソース定義（CRD）を調整します。

AKSではCNIの再設定に時間がかかるため、クラスター作成時にテンプレートを調整しておくのが効率的です。

最新バージョンCilium CLIによるインストール手順

最新版のCilium CLIはHelmチャート経由で簡単に導入可能です。以下に具体的な手順を解説します。

Helmリポジトリの更新と確認

1. リポジトリ追加
   bash
helm repo add cilium https://helm.cilium.io/
helm repo update

2. バージョン確認
   bash
helm search repo cilium
# 出力例: NAME CHART VERSION APP VERSION DESCRIPTION
# cilium/cilium v1.15.0 v1.15.0 Cilium is a high performance ...

インストール実行

カスタムリソース定義（CRD）の確認

インストールが完了したら、カスタムリソース定義（CRD）を確認します。

出力例:

上記のCRDが表示されれば、CiliumとHubbleのインストールは成功しています。

Hubbleの導入とネットワーク可視化設定

HubbleはeBPFを活用したリアルタイムなトラフィック可視化ツールです。以下に導入手順とUI・CLIでの使い方を解説します。

Operatorデプロイ手順

1. リポジトリ追加
   bash
helm repo add hubble https://helm.hubble.io/
helm repo update

2. Operatorのインストール
   bash
helm install hubble hubble/hubble \
--namespace kube-system \
--set metricsServer.enabled=true

3. UIへのアクセス設定（クラスター内）
   bash
kubectl -n kube-system port-forward svc/hubble-ui 8080:80
   ブラウザでhttp://localhost:8080にアクセスしてください。

UI・CLIでのトラフィック監視

Hubble UIでは、以下のようなビューが利用可能です。

CLIではhubble flowコマンドで、IPアドレスやポートを指定して特定のトラフィックを検索できます。

eBPFによるリアルタイムネットワーク解析実践

Hubble CLIを使用することで、eBPFプログラムを通じて収集されたデータを即座に確認できます。以下では具体的なコマンド例と運用方法を紹介します。

トラフィックフローの可視化例

手順1: 特定のPod通信をフィルタリング

このコマンドは、指定した2つのPod間の通信履歴を表示します。

ポリシー違反時のアラーム設定

Hubble UI内で「Rules」タブを開き、以下の手順でアラームを作成してください。

1. ポリシールールに注意事項を追加
   例:
   yaml
apiVersion: cilium.io/v2
kind: CiliumNetworkPolicy
metadata:
name: block-external-access
spec:
egress:

   • toPorts:
     • ports:
       • port: "80"
         protocol: TCP
         toEndpoints:
     • matchLabels:
app: frontend
action: Deny


2. アラーム設定画面で「Policy Violations」を選択
   ポリシー違反が発生した際、メールやSlackへの通知を自動的に送信できます。

ネットワークポリシーコントロールとセキュリティ強化

CiliumNetworkPolicyは、Kubernetesクラスター内での通信制御に不可欠です。以下では具体的なYAMLテンプレートとHubbleによる影響確認の方法を紹介します。

CiliumNetworkPolicyの作成手順

例: 内部通信のみ許可するポリシー

このポリシーは、10.0.0.0/8範囲外の通信をブロックします。

可視化によるポリシー最適化

ポリシー作成後、Hubble UIで以下のように確認できます。

1. 「Overview」タブを開く

• 許可・拒否された通信が一覧表示されます。

2. 「Flows」タブを使用する

• 特定のPodやIPアドレスに絞り込み、ポリシーの影響範囲を確認します。

作成したポリシーで意図せぬ通信がブロックされていないか、Hubbleで定期的に監査することをお勧めします。