Kubernetesという名前は、操舵手またはパイロットを意味するギリシャ語に由来しています。Googleの内部コンテナ・オーケストレーション・プラットフォームであるBorgをベースとするKubernetesは、2014年にオープンソース・ツールとして一般に公開されました。同年、 Googleはオープンソースでベンダーに依存しないクラウドネイティブ・コンピューティングのハブであるクラウドネイティブ・コンピューティング財団（ibm.comの外部サイトに接続します）にKubernetesを寄付しました。それ以来、Kubernetesは、コンテナベースのワークロードの実行に世界で最も広く使用されるコンテナ・オーケストレーションツールになりました。

Kubernetes（「k8s」または「kube」とも呼ばれます）の設計における明確な目的は、コンテナ（コードとその依存関係をすべてパッケージ化したソフトウェアの標準単位）管理の自動化です。このオーケストレーション・ツールは、オンプレミス、プライベートクラウド、パブリッククラウド、ハイブリッドクラウドなど、どのようなインフラ環境でも迅速かつ確実に稼働する点で高く評価されています。

物理ハードウェアを 仮想化する仮想マシン（VM）とは異なり、コンテナはオペレーティング・システム（LinuxやWindowsなど）を仮想化します。各コンテナには、アプリケーションのライブラリと依存関係のみが保持されます。コンテナはホストと同じオペレーティング・システム・カーネルを使用するため、軽量で高速、かつポータブルであると考えられています。

Kubernetesとそのサービス、サポート、ツールのエコシステムは、最新のクラウドインフラとアプリケーションのモダナイゼーションの基盤となっています。Amazon Web Services（AWS）、Google、Microsoft、IBM、Red Hatなど、主要なクラウドプロバイダーはすべて、Platform-as-a-Service（PaaS）とInfrastructure-as-a-Service（IaaS）の機能を強化するために、自社のクラウドプラットフォームにKubernetesを統合しています。

基本的なコンピューター・ネットワーキングは、ケーブル（有線）またはWiFiのいずれかで2つ以上のコンピューター・デバイスを接続し、データの共有やリソースの交換を行うことを主とします。

物理ネットワークでは、物理サーバーを物理ネットワーク機器（スイッチ、ルーター、イーサネット・ケーブル）に接続して、インターネットに接続します。

仮想ネットワーキング、ソフトウェア定義ネットワーク（SDN）では、仮想イーサネット・デバイスや仮想インターフェースなどのコンポーネントがベアメタル・サーバーや仮想マシンにインストールされ、インターネットに接続されます。Kubernetesのデプロイメントでは、SDNを使用してクラスター間のネットワーク通信を構成および管理します。

Kubernetesネットワーキングをさらに深く掘り下げる前に、基本的なネットワーク用語を確認しましょう。

• ネットワーク・ホスト：ネットワーク・ホストは、ネットワークに接続され、ネットワーク上の他のホストまたはノードに情報、アプリケーション、またはサービスを提供するコンピューターです。
• IP（Internet Protocol）アドレス： IPアドレス は、通信にInternet Protocolを使用するネットワークに接続されているすべてのデバイスに割り当てられる一意の番号です。この番号によって、デバイスのホスト・ネットワークと、そのホスト・ネットワーク上のデバイスの位置が識別されます。
• Localhost： Localhostは、プライベートIPアドレスとして機能するデフォルトのホスト名で、使用するコンピューターまたはデバイスを直接指します。
• ポート：ポートは、ネットワーク・デバイス間の特定の接続を識別するものです。各ポートは番号によって識別されます。コンピュータはポート番号を使用して、どのアプリケーション、サービス、プロセスが特定のメッセージを受信するかを決定します。  
• NAT（ネットワークアドレス変換）： NATは、内部またはプライベートのアドレスを、パブリックまたはグローバルにルーティング可能なIPアドレスに変更し、安全なインターネット・アクセスを実現します。NATを使用すると、1つの一意のIPアドレスでコンピューティング・デバイスのグループ全体を表すことができます。
• ノード・エージェント：ノード・エージェントは、ホスト・システム上のアプリケーション・サーバーを監視し、管理上の要求をサーバーにルーティングする管理エージェントです。
• ネットワーク名前空間：ネットワーク名前空間は、ネットワーク・インターフェースと、ルーティング・テーブルによる指示の集合で、ネットワーク・デバイスを分離する働きをします。
• プロキシ／プロキシ・サーバー:プロキシは、ユーザーとインターネットの間にゲートウェイを設けます。

Kubernetesは、マシンのクラスター全体に分散されたネットワーク・プレーンで分散システムを実行するために作成されました。Kubernetesクラスター・ネットワーキングは、コンポーネント間の相互接続性を提供するだけでなく、ソフトウェア定義型ネットワーキングにより、データを自由かつ効率的に移動できるシームレスな環境を構築します。

Kubernetesネットワーキングのもう1つの大きな特徴は、フラットなネットワーク構造です。すべてのコンポーネントが、他のハードウェアに依存せずに接続できることを指します。Kubernetesでは、クラスター内のすべてのポッドは、それがどのノードで動作しているかに関係なく、他のすべてのポッドと通信できます。フラット・ネットワークによって効率的にリソースを共有することができ、動的ポート割り当ての必要がなくなります。

総じて言うと、Kubernetesネットワーキングによって複雑なものが抽象化され、開発者とオペレーターは、複雑なネットワーク構成に対応するのではなく、アプリケーションの構築と保守に集中できるようになります。

Kubernetesネットワーク・ポリシーは、Kubernetesネットワーキングにおいて重要な役割を持つアプリケーション構造です。これらのポリシーを取り入れることで、管理者と開発者は、ポッド同士の通信方法や、ポッドと他のネットワーク・エンドポイントとの通信方法を指定するルールを定義できます。ネットワーク・ポリシーは、Kubernetes Network Policies API を使用して適用され、次の基本コンポーネントで構成されます。

• ポッド・セレクター：ポッド・セレクターは、ラベルとセレクターに基づき、ポリシーが適用されるポッドを指定します。
• Ingress: Ingressは、ポッドへの受信トラフィックのルールを定義します
• Egress: Egressは、ポッドからの発信トラフィックのルールを定義します。

Kubernetesネットワーク・ポリシーは、相互に通信できるポッドを制御するルールを定義することで、セキュリティー・ポリシーの定義と管理に貢献します。これにより、不正アクセスや悪意のある攻撃を防止できます。また、ネットワーク・ポリシーは、ポッドとサービス間の分離も保証し、それらのポッドまたはサービスのみが許可されたピアのセットと通信できるようにします。例えば、DevOpsや他のチームが同じKubernetesクラスターを共有しながら異なるプロジェクトに取り組んでいるようなマルチテナントの状況では、分離が重要です。

特定のコンプライアンス要件がある企業の場合、ネットワーク・ポリシーは、ネットワーク・アクセス制御の具体化と徹底に役立ちます。これにより、規制基準を満たし、クラスターを組織のポリシーに確実に準拠させることができます。

Container Network Interface (CNI) は、Kubernetesネットワーキングに関連するもう 1 つの重要な機能です。Cloud Native Computing Foundationによって作成・保守され、KubernetesやRedHat OpenShift®、Apache Mesosなどのコンテナ・ランタイムで使用されているCNIは、ネットワーク・プラグインによってどのようにコンテナ・ネットワーキングを実現すべきかを定義する、標準化された仕様および一連のAPIです。CNIプラグインは、IPアドレスの割り当て、ネットワーク名前空間の作成、ネットワーク・ルートの設定などを行い、それによって、同じノード内と異なるノード間の両方でポッド間の通信を実現します。

KubernetesにはデフォルトのCNIが備わっていますが、Calico、Flannel、Weave などの多数のサードパーティCNIプラグインは、コンテナベースのネットワーキング環境で構成とセキュリティーに対処するように設計されています。オーバーレイ・ネットワークやダイレクト・ルーティングなど、ネットワーキングの機能やアプローチはそれぞれ異なる可能性がありますが、いずれもKubernetesと互換性のあるCNI仕様を遵守しています。