AZ700-CORE#112
AKS で Network Policy を実装する場合、Azure CNI Overlay モードでサポートされる Policy Engine はどれですか?
解説
【正解: A】の理由
AKS の Network Plugin が Azure CNI Overlay モードの場合、Network Policy Engine として Cilium (eBPF ベース、高性能 + 監視機能) または Calico (iptables ベース、業界標準) を選択可能です。Cilium は L7 (HTTP) ポリシーや高度な可観測性機能を提供し、最新の推奨選択です。
【AKS Network Policy 比較】
| Engine | ベース | L3/L4 | L7 (HTTP) | 可観測性 |
|---|---|---|---|---|
| Calico | iptables | ○ | × | 基本 |
| Azure NPM | iptables/IPVS | ○ | × | 基本 |
| Cilium | eBPF | ○ | ○ | 高度 (Hubble) |
【他選択肢が違う理由】
- B. iptables のみ: CNI Overlay は Cilium も対応です。
- C. 非対応: NetworkPolicy は AKS 標準機能です。
- D. AppArmor: これはコンテナのプロセス サンドボックス、ネットワーク制御ではない。
【参考】
【Network Policy 比較】
| Engine | L3/4 | L7 | パフォーマンス | 監視 |
|---|---|---|---|---|
| Calico | ○ | × | 中 | 基本 |
| Azure NPM | ○ | × | 中 | 基本 |
| Cilium | ○ | ○ | 高 (eBPF) | Hubble UI |
【Cilium の利点】
- eBPF ベースで iptables より高速
- L7 (HTTP メソッド、URL) ポリシー
- Service Mesh 統合 (Istio 互換)
- Hubble で可観測性 強化
コメント