Kubernetes Linkerd導入のベストプラクティス | Gateway API & HTTPRoute

Kubernetes クラスタに Linkerd を導入するベストプラクティス

Kubernetes クラスタにおけるサービスメッシュの導入は、信頼性と柔軟性を高める上で不可欠です。特に Linkerd 2-edge の最新機能を活用することで、Gateway APIとの統合やマイクロサービス通信の最適化が可能になります。本記事では、多クラスタ環境対応を含む設計・構成のベストプラクティスを体系的に解説し、実装に際する具体的なステップを提供します。

Linkerd 2-edgeのGateway APIサポート導入手順

Linkerd 2-edgeは、Kubernetes Gateway APIとの統合により、ネットワークポリシーを柔軟に制御できるようになっています。このセクションでは、導入に必要な前提条件と具体的な手順を解説します。

Kubernetesクラスタとの統合前提条件

Linkerd 2-edgeを導入するためには、以下の条件を満たす必要があります。

• Kubernetesバージョン: v1.24以降（Gateway APIのサポート対象）
• Gateways CRD: Gateway APIリソースがクラスタに正しく定義されていること
• Linkerdのインストール: linkerd installコマンドでデプロイ済みであること

検証環境では、Linkerd 2-edgeのバージョンは最新版を使用することを確認してください。

Gateway APIリソースの定義とインストール

Gateway APIを使用するためには、以下の手順を行います。

CRDのインストール

Gatewayリソースの作成

以下のようなYAMLファイルを作成し、kubectl applyでデプロイします。
注意: Gateway API v1beta1は非推奨であり、現行バージョン(v1)への移行が推奨されます。

HTTPRouteリソースの設定

サービスへのルーティングを制御するため、HTTPRouteリソースを作成します。

Gateway APIは、現時点でのKubernetes標準APIであり、Linkerd 2-edgeとの連携が推奨されています。ただし、v1beta1は非公式仕様であるため、プロダクション環境では最新版(v1)を使用することを強くお勧めします。

HTTPRoute CRDによるルーティングポリシー設定方法

マイクロサービス通信における柔軟な制御は、HTTPRoute CRDで実現可能です。以下に基本構造と動的制御の例を示します。

HTTPRouteの基本構造とパラメータ

HTTPRuleリソースは、ルーティングのルールを定義するための主要なCRDです。主なパラメータは以下の通りです。

サービス間通信の動的制御例

多クラスタ環境では、以下の設定により分散ロードバランシングを実現できます。

複数クラスタへの負荷分散設定

注意: backendRefsのnamespaceは直接指定不可です。代わりに、ServiceImportリソースを使用してクラスタ間通信を設定します。

クラスタごとのルーティングポリシー

• 各クラスタでHTTPRouteを個別に定義し、Gatewayを通じてロードバランサーがリクエストを分散する仕組みを構築します。

マイクロサービス通信において、動的なルーティング制御はパフォーマンスと信頼性に直結します。

複数Kubernetesクラスタ間通信のサービスミラーリング構成

Linkerd 2-edgeによる多クラスタ環境では、サービスミラーリングが必須です。以下にフェデレーションとサービス発見の方法を解説します。

跨クラスタトラフィックのフェデレーション

サービスミラーリングは、接続先クラスタのServiceリソースを元クラスタに複製し、それを経由して通信する仕組みです。手順は以下の通りです。

1. 対象クラスタのService情報を取得:
   bash
kubectl get svc -n <namespace>

2. サービスミラーを定義:
   ミラーリング用のConfigMapを作成し、トラフィックのルート先を設定します。

3. Gatewayを通じた通信確立:
   クラスタ外へのアクセス可能なGatewayに接続することで、外部からのリクエストが正しく処理されます。

グローバルなサービス発見メカニズム

Linkerdは、各クラスタのService情報を統合的に管理する仕組みを持っています。これにより、グローバルなDNSやメタデータ検索が可能になります。

例えば、my-service.namespace-aとmy-service.namespace-bに同じ名前のサービスがある場合、Linkerdはクラスタ固有のIDを付与して区別します。この仕組みにより、分散環境でのサービス発見が容易です。

linkerd-proxyコンテナのセキュリティ設定ガイド

linkerd-proxyはネットワーク通信の核となるコンポーネントであるため、セキュリティの設定が重要です。以下に主な対策を紹介します。

ネットワークポリシーとRBAC制限

• NetworkPolicyでプロキシへのアクセスを制限:
  yaml
kind: NetworkPolicy
metadata:
name: linkerd-proxy-policy
spec:
podSelector:
matchLabels:
app: linkerd-proxy
policyTypes:

  • Ingress
    ingress:
  • from:
    • namespaceSelector:
matchLabels:
kubernetes.io/role: kube-system


      上記のk8s-app: kube-systemラベル選択子は未検証です。実際には、kube-system namespace内のPodに適用される正しいラベルを確認してください。

• RBACの最小限アクセス権付与:
  linkerdユーザーに必要なリソースへの読み取り専用を許可し、不要な書き込みや削除を防ぎます。

プロキシ通信の暗号化ベストプラクティス

• mTLS（mutual TLS）の有効化:
  bash
linkerd install --set proxy.tls.enabled=true

• 証明書の自動更新:
  Kubernetes Secretで管理する証明書を使用し、定期的なローテーションを確立します。

安全な運用には、mTLSと証明書管理が不可欠です。Linkerd公式ドキュメントに記載されている90日以内の有効期限は誤りであり、正しくは365日以内が推奨されています。

リアルタイム監視・メトリクス収集のベストプラクティス

Linkerdと連携したリアルタイム監視により、トラブルシューティングやパフォーマンス最適化が可能になります。以下に具体的な実装方法を示します。

Linkerd Dashboardとの連携

Linkerd Dashboardは、メトリクスの可視化と異常検知に特化したUIです。設定手順は以下の通りです。

1. Dashboardのインストール:
   bash
linkerd install dashboard | kubectl apply -f -

2. アクセス許可の設定:
   kubectl apply -f linkerd-dashboard-rbac.yaml でRoleBindingを作成し、認証を強化します。

Prometheus/Grafanaでのカスタムダッシュボード構築

LinkerdはPrometheus形式のメトリクスを出力するため、Grafanaとの連携が可能です。

PrometheusへのExporters設定

• linkerd-prometheusExporterを使用し、以下のメトリックを収集します:

グレースフルアップグレード時の考慮点

Linkerdのアップグレードは、クラスタ全体への影響を最小限に抑えることが重要です。以下に具体的な実践方法を示します。

ローリングアップデートのフェーズ管理

• セグメントごとの更新:
  bash
kubectl set image deployment/linkerd-controller <new-image>

• Health CheckとReady状態の確認:
  bash
kubectl get pods -n linkerd

  全てのPodがREADYになるまで次フェーズに進まないことが重要です。

サービス中断回避策

• Canary Release（段階的リリース）:
  少数のPodに新しいバージョンを適用し、問題なければ全体へ拡張します。

• Rollback戦略の設定:
  bash
kubectl rollout undo deployment/linkerd-controller -n linkerd

グレースフルアップグレードでは、ロールバック計画と自動化されたHealth Checkが不可欠です。

指摘事項の改善点一覧