ホストのアイデンティティを活用したネットワーク機能の研究

• Project/Area Number: 21K17732
• Research Category: Grant-in-Aid for Early-Career Scientists
• Allocation Type: Multi-year Fund
• Review Section: Basic Section 60060:Information network-related
• Research Institution: Kyoto University
• Principal Investigator: 小谷 大祐 京都大学, 学術情報メディアセンター, 助教 (70783059)
• Project Period (FY): 2021-04-01 – 2025-03-31
• Project Status: Granted (Fiscal Year 2023)
• Budget Amount: ¥4,550,000 (Direct Cost: ¥3,500,000、Indirect Cost: ¥1,050,000); Fiscal Year 2024: ¥650,000 (Direct Cost: ¥500,000、Indirect Cost: ¥150,000); Fiscal Year 2023: ¥2,730,000 (Direct Cost: ¥2,100,000、Indirect Cost: ¥630,000); Fiscal Year 2022: ¥910,000 (Direct Cost: ¥700,000、Indirect Cost: ¥210,000); Fiscal Year 2021: ¥260,000 (Direct Cost: ¥200,000、Indirect Cost: ¥60,000)
• Keywords: Programmable Networking / SDN / Identity / Network Access Control

Outline of Research at the Start

様々なネットワークの機能は大きくパケットの識別と処理の適用の2つから実装される。本研究が対象とするパケットの識別では、パケットの送信元と送信先の片方または両方から適用する処理を特定する。この識別を送信元や送信先のホスト等のアイデンティティを用いて効率的に行うためのIDの生成方法やパケットフォーマットからなるアーキテクチャを明らかにする。これを、IDの生成に必要な情報の収集・ID空間の設計・パケットフォーマットの設計・プログラマブルなネットワークを実現する技術を用いた実装の一連の流れについて、クラウドのデータセンターネットワークとキャンパスネットワークの2種類のネットワークを想定して検討する。

Outline of Annual Research Achievements

今年度は、クラウドを想定して開発してきた送信元・送信先のホスト等のアイデンティティを元にIdentifierを付与しネットワークアクセス制御を行うシステム (Acila) のキャンパスネットワークへの適用を想定し、Identifierの識別に利用する情報として、ネットワーク機器のポート番号やVLAN ID等も利用できるように拡張する設計を行い、データプレーンをP4を用いて実装した。キャンパスネットワークにおいては、同一のテンプレートから生成される大量のアクセス制御ルールの利用が想定されるため、それらとIdentifierの親和性が高いアクセス制御ルールの実装方式について検討を始めるとともに、シンプルな方法についてはP4を用いて実装を始めた。
また、大規模な環境において評価を行うための計測ソフトウェアについても開発を進め、Kubernetesのオブジェクト間の更新のタイミングについて整理し、それらに基づき更新に関係するIDを生成・付与するタイミングを工夫することにより、更新に関係するIDの爆発的な増加を防ぎつつ、オブジェクトがいつ誰によって更新されたのかを計測できる手法を検討した。
さらに、アイデンティティとしてさらに上位のレイヤの情報（アプリケーション等）を扱う手法についても検討した。アプリケーション等の上位レイヤの情報を扱うことにより、マイクロサービスにおけるIdentifierを利用したアプリケーションに手を入れないマルチテナント化への応用についても検討し、実アプリケーションを想定した評価を行なった。

Current Status of Research Progress

3: Progress in research has been slightly delayed.

Reason

ソフトウェアの実装に向けた検討は進んでいるが、大量のIdentifierをいかに効率よく処理するかについて更なる検討が必要であり、それにより実装に遅れが生じている。

Strategy for Future Research Activity

キャンパスネットワークにおけるテンプレートから生成される大量のアクセス制御ルールの処理についてより効率的な方法を模索しつつ、Acilaにおいて、クラウド・キャンパスネットワークの両方において大規模なシステムを想定した環境で評価を行い、大規模な環境への適用可能性を明らかにする。

Research Products

• [Presentation] Protocol-Independent Context Propagation for Sharing Microservices in Multiple Environments (2023)
  • Author(s): Hiroya Onoe, Daisuke Kotani and Yasuo Okabe
  • Organizer: 11th IEEE International Conference on Cloud Engineering
  • Int'l Joint Research
• [Presentation] 分散トレーシング手法を用いたKubernetes制御プレーンにおけるオブジェクトの連鎖的変更の観測手法の検討 (2023)
  • Author(s): 江平 智之, 小谷 大祐, 岡部 寿男
  • Organizer: 電子情報通信学会 インターネットアーキテクチャ研究会
• [Presentation] 複数環境でマイクロサービスを共用するためのプロトコル非依存なコンテクスト伝播 (2023)
  • Author(s): 尾上 寛弥, 小谷 大祐, 岡部 寿男
  • Organizer: マルチメディア、分散、協調とモバイル(DICOMO2023)シンポジウム
• [Presentation] Acila: Attaching Identities of Workloads for Efficient Packet Classification in a Cloud Data Center Network (2022)
  • Author(s): Kentaro Ohnishi, Daisuke Kotani, Hirofumi Ichihara, Yohei Kanemaru and Yasuo Okabe
  • Organizer: ACM SIGCOMM 2022 Workshop on Future of Internet Routing & Addressing (FIRA 2022)
  • Int'l Joint Research
• [Presentation] Acila: Attaching Identities of Workloads for Efficient Packet Classification in a Cloud Data Center Network (2022)
  • Author(s): 小谷 大祐
  • Organizer: ITRC meet51
• [Presentation] Kubernetes制御プレーンにおけるリソースの連鎖的変更の監視 (2022)
  • Author(s): 江平 智之, 小谷 大祐, 城倉 弘樹, 市原 裕史, 岡部 寿男
  • Organizer: マルチメディア、分散、協調とモバイル(DICOMO2022)シンポジウム