TetrateがAmazon EKSでのIstioサービスメッシュの導入・運用を自動化する「TSE」を発表、AWSサービスと統合：AWSのRoute 53やロードバランサーも自動設定

Terateが、IstioとEnvoyに基づくサービスメッシュの「Amazon EKS」上でのインストールと運用を自動化する「Tetrate Service Express」を発表した。4月中にテクノロジープレビューの提供を開始するという。

[三木泉，＠IT]

　Istioサービスメッシュの有力企業であるTerateは2023年4月12日（米国時間）、サービスメッシュをAmazon Web Services（AWS）のKubernetes基盤サービス「Amazon EKS」で容易に導入・運用できる「Tetrate Service Express（TSE）」を発表した。4月中にテクノロジープレビューの提供を開始するという。

　TSEは、Amazon EKSクラスタへのIstio/Envoyによるサービスメッシュのインストール／構成、運用を自動化する。Route 53、Network Load Balancer（NLB）など、AWSのサービスとの連携も自動的にできる。

　TetrateはTSEについて、オープンソース ソフトウェア（OSS）に基づきAWS向けに最適化された、唯一のサービスメッシュソリューションだと説明している。

　「TSEは、特にAmazon EKSにおけるサービスメッシュの技術的、ビジネス上のメリットを迅速に証明したいチームに向けたもの。IstioやEnvoyの複雑さをマスターしたり、OSSを管理する技術的負債を負ったりする必要はない」（ プレスリリースより）

Route 53やNLBとも自動統合、TSEの具体的な機能とは

　Amazon EKSは便利なものの、利用が拡大すると、「AWS上に分散しているマイクロサービスコンポーネントの保護」「更新や高負荷で個々のコンポーネントに障害が発生した場合の信頼性維持」「手動による設定では対応しきれなくなった場合のサービス間トラフィック管理」などの問題が発生すると、Tetrateは説明する。

　こうした問題に対処するためのサービスメッシュ技術で標準的な存在になったのがIstioとEnvoyの組み合わせだが、OSSをそのまま使うのでは、運用の複雑さが増すばかり。そこで開発したのがTSEだという。

　TSEの具体的な機能として、Tetrateは以下を紹介している。

インストールおよびAWSサービスとの連携を自動化

　TSEでは、サービスメッシュとしての機能を発揮するまでの全てのインストール／構成作業を自動化する。Route 53やNLBなどとの統合作業も自動化される。

　これにより、「Edge、Ingress Gatewayの配置」「認証、流量制御、高可用性（HA）、セキュリティの設定」「メトリックやログ、トレースなどの取得の設定」などを迅速かつ確実にできるという。

mTLSによる通信暗号化をワンステップで設定

　TSEでは、mTLSによる双方向通信暗号化の適用を自動化し、以下を実現する。

• 組み込んだ認証局による、全クラスタを対象とした証明書のローテーションと管理
• 管理者レベルで、全サービスを対象にmTLSの必要性を定義
• 「Deny-All」をデフォルトとした、きめ細かなアクセスポリシーの作成

HAの設定を自動化

　HAに関しては、次のような機能を提供する。

• サービス公開のためのIngress、ALB、Route 53の自動設定
• 内部でのHA確保のための内部ゲートウェイとEast-Westゲートウェイの自動構成
• ネットワークルールの動的再構成によるクラスタ間トラフィックのフェイルオーバー