RBAC、Windows のサポート や 25 以上の新機能を備えた Kuma 1.4 および Kong Mesh 1.5 がリリース

2021.12.02

Kuma のリリースと、Kuma 上に構築された Kong Mesh のリリースを発表できることを嬉しく思います。Kuma 1.4 には、25 以上の新機能が追加され、パフォーマンスが向上されました。また、Kong Summit 2021 で発表された Kong Mesh には、RBAC (ロールベース アクセス制御) や Windows VM のネイティブ サポートなど、大規模なサービス メッシュ展開のためのエンタープライズ機能が搭載されています。

サービス メッシュの最新かつ最高の機能を利用するために、アップグレードすることを推奨いたします。

Kuma 1.4 と Mesh 1.5 の向上点
🚀 Kong Mesh は、Kubernetes と VM 間で普遍的に機能するネイティブな RBAC を搭載しています。
🚀 Kong Mesh は 10 以上のディストリビューションに加えて、Windows VM をネイティブにサポートしています。
🚀 パフォーマンスが大幅に向上され、2 倍のデータプレーン プロキシをロードできるようになり、CPU の消費も少なくなりました。
🚀 必要に応じてゾーンを無効にすることができるようになりました。
🚀 “Kuma Service” ダッシュボードや “Service to Service” ダッシュボードで、特定のゾーンを選択できるようになりました。機能とアップデートのリストは、変更ログをご確認ください。

RBAC (ロールベース アクセス制御) 機能
Kong Mesh 1.5 では、新しい RBAC 機能がデフォルトで有効になっており、すべてのクラウドの Kubernetes および Universal 環境の両方で一貫して機能します。さらに、スタンドアロンおよびマルチゾーンのデプロイメントでも RBAC 機能が有効になります。この新機能を使うことで、チームが 1 つまたは複数の仮想メッシュ上で実行できることを制限し、組織全体での Kong Mesh の運用をより適切に行うことができます。この機能の詳細については、公式ドキュメント (英語) をご覧ください。

RBAC 機能にはいくつかの重要な概念があります。

AccessRole

AccessRole は、ユーザに割り当てることのできる役割を定義するリソースです。このリソースはグローバルスコープであり、メッシュにバインドされないことを意味します。AccessRole の例は以下になります。

type: AccessRole
name: role1
rules:
types: [“TrafficPermission”, “TrafficRoute”, “Mesh”] # アクセスが許可されるタイプのリストです。空の場合は、すべてのタイプにアクセスが許可されます。
  names: [“res-1”] # アクセスが許可されるタイプの名前のリストです。空の場合は、名前に関係なくリソースへのアクセスが許可されます。
  mesh: default # リソースへのアクセスが許可されているメッシュです。これは、メッシュ スコープのリソースでのみ使用できます。
  access: [“CREATE”, “UPDATE”, “DELETE”, “GENERATE_DATAPLANE_TOKEN”, “GENERATE_USER_TOKEN”, “GENERATE_ZONE_CP_TOKEN”] # タイプにバインドされたアクションです。
  when: # アクセスを取得するために必要な修飾子のセットです。アクセスを取得するためには、そのうちの 1 つが満たされる必要があります。
  sources: # 接続ポリシー (TrafficRoute や Healthcheck など) のソース セクションに関する条件です。見つからない場合は、すべてのソースが許可されます。
      match:
        kuma.io/service: web
    destinations: # 接続ポリシー (TrafficRoute や Healthcheck など) のソース セクションに関する条件です。見つからない場合は、すべてのデスティネーションが許可されます。
      match:
        kuma.io/service: backend
  selectors: # データプレーン ポリシー (TrafficTrace や ProxyTemplate など) のセレクター セクションの条件を設定します。
      match:
        kuma.io/service: web
  dpToken: # データプレーン トークンを生成するための条件です。
      tags:
      name: kuma.io/service
        value: web

AccessRoleBinding

このリソースは、AccessRole を User (ユーザー)、または Group (グループ) にバインドします。以下の例をご確認ください。

type: AccessRoleBinding
name: binding-1
subjects: # ロールが割り当てられるサブジェクトのリストです。
– type: User # サブジェクトの種類になります。利用可能な値: (“User”, “Group”)
name: john.doe@example.com # name of the subject.
– type: Group
name: team-a
roles: # サブジェクトのリストに割り当てられるロールのリストです。
– role-1

User/Group

“AccessRoles” は、特定の “User” またはユーザーの “Group” にバインドすることができます。Kubernetes では、”kubectl login” で提供されるログイン認証情報によってユーザーが識別されますが、Universal では、基盤となる Kuma の ユーザー トークン (英語) によって識別されます。

将来的には、ユーザー認証の追加手段として、Kong Mesh に OIDC/LDAP のサポートを追加するための完璧な基盤が構築されます。

パフォーマンスの向上

今回のリリースでは、Kuma のデプロイメントを大規模に再現する新しいパフォーマンス スイートによって特定されたパフォーマンスが向上されました。これにより、本番環境で発生する可能性のあるパフォーマンスの問題を予測し、製品の継続的な向上の一環としてパフォーマンスが向上された製品を提供することができます。

特に、Universal モードで基盤となる Postgres データベースに負荷がかかる可能性を低減し、Kuma の CPU とメモリの消費量を向上しています。

アップグレードして、今すぐお試しを!

Kuma をアップグレードする前に、必ずアップグレードガイド (英語) をご確認ください。

Kong Enterprise の概要、価格、およびライセンス体系などの詳細は、こちらを参照してください。

記事参照: 2021 年 11 月 23 日
Marco Palladino
© Kong Inc. 2021
Kuma 1.4 and Kong Mesh 1.5 Released With RBAC, Windows Support, 2x Performance and 25+ New Features

 

タイトルとURLをコピーしました