サービスメッシュ

Istio いすてぃお

サービスメッシュKubernetesEnvoyトラフィック管理mTLSオブザーバビリティ

Istioについて教えて

簡単に言うとこんな感じ！

マイクロサービスって、たくさんの小さなアプリが互いに話しかけ合う仕組みなんだけど、その「会話の交通整理・盗聴防止・通信記録」を全部まとめてやってくれる管制塔みたいなものがIstioだよ！アプリのコードを変えなくても通信を安全・賢くできちゃうんだ！

Istioとは

Istioは、マイクロサービス（ひとつの大きなシステムを小さな機能単位に分割して動かす設計方式）間の通信を管理するオープンソースのサービスメッシュプラットフォームです。主にKubernetes上で動作し、Google・IBM・Lyftが共同で開発して2017年にオープンソース化されました。

マイクロサービスが増えてくると、「どのサービスがどのサービスと通信しているか」「通信が失敗したときどう対処するか」「通信が暗号化されているか」といった課題が一気に複雑になります。Istioはこれらの問題をアプリケーションのコードに手を加えることなく、インフラレベルで一括解決できる点が最大の強みです。

仕組みの核心は、各サービスのそばにサイドカープロキシ（Envoy）と呼ばれる小さな通信代理人を自動的に配置することにあります。すべての通信はこのプロキシを経由するため、アプリ本体は「普通に通信しているつもり」のまま、トラフィック制御・セキュリティ・監視をまとめて適用できます。

Istioの主要機能と構造

Istioは大きくコントロールプレーンとデータプレーンの2層に分かれています。

レイヤー	コンポーネント	役割
コントロールプレーン	istiod	ポリシーの管理・設定配布・証明書発行
データプレーン	Envoy（サイドカー）	実際の通信を中継・制御

Istioの4大機能

機能カテゴリ	具体的にできること
トラフィック管理	カナリアリリース・A/Bテスト・タイムアウト・リトライ設定
セキュリティ	mTLS（相互TLS）による自動暗号化・認証・認可ポリシー
オブザーバビリティ	通信ログ・メトリクス・分散トレーシングの自動収集
ポリシー適用	レートリミット・アクセス制御をコードなしで設定

サイドカーパターンの覚え方

「ボディーガードが隣に常駐」と覚えよう。
アプリ（本人）の隣にEnvoy（ボディーガード）が常にいて、外との通信を全部チェック・記録してくれるイメージ！

istiodへの統合（v1.5以降）

バージョン1.5以前はPilot・Citadel・Galleyと複数のコンポーネントが分かれていましたが、現在はistiodに統合されており、運用がシンプルになっています。

歴史と背景

2016年 Kubernetes上のマイクロサービスが急増し、サービス間通信の複雑さが限界に近づく
2017年5月 Google・IBM・Lyftが共同でIstio 0.1を公開。Lyft社製のEnvoyプロキシを採用
2018年 バージョン1.0がリリース。本番利用可能と宣言される
2020年 istiodへの大統合（v1.5）。複雑すぎると批判されていた構成がシンプル化
2022年9月 CNCFへの寄贈が発表。Cloud Native Computing Foundationの傘下に入りガバナンスが強化される
2023年 CNCFの卒業プロジェクト（最高位）に認定。エンタープライズでの採用がさらに加速

Istioのアーキテクチャ図解

Istio vs. 他のサービスメッシュ・アプローチとの比較

比較項目	Istio	Linkerd	Consul Connect	サービスメッシュなし
機能の豊富さ	◎ 非常に多機能	△ 最低限	○ 中程度	✕
導入の複雑さ	△ 高め	◎ 簡単	○ 中程度	◎ 簡単
パフォーマンスオーバーヘッド	△ やや大きい	◎ 軽量	○ 中程度	◎ なし
CNCFステータス	卒業プロジェクト	卒業プロジェクト	—	—
mTLS自動化	◎	◎	○	✕

Istioを選ぶべき場面：

マイクロサービスが10個以上あり、通信管理が煩雑になってきた
セキュリティ要件が厳しく、すべての通信を暗号化・認証したい
カナリアリリースや段階的ロールアウトをコードなしで実現したい

規格・RFC番号	内容
RFC 8446	TLS 1.3。IstioのmTLSが採用するトランスポート暗号化の最新規格
RFC 7540	HTTP/2。EnvoyプロキシとistiodがgRPC通信に使用するプロトコル
RFC 6749	OAuth 2.0。Istioの認可ポリシーで使われるトークンベース認証の基盤