はじめに
こんにちは。LINEヤフーで社内プライベートクラウドの開発・運用を担当している中村です。2026年3月23日から26日にかけて、オランダのアムステルダム��にて KubeCon + CloudNativeCon Europe 2026(以下、KubeCon EU)が開催されました。
https://events.linuxfoundation.org/kubecon-cloudnativecon-europe/
KubeCon EUはCloud Native Computing Foundation(CNCF)が主催する、クラウドネイティブ技術に関する世界最大級の国際カンファレンスです。今回、LINEヤフーからは3組6名が登壇しました。本記事では、KubeCon EUへの参加の様子や登壇内容について、LINEヤフーのエンジニアの視点から紹介します。
今回の KubeCon EU に参加して感じたこと
今回の KubeCon EU は、13,000人以上が参加し、100カ国以上からエンジニアが集まる過去最大規模の開催となりました。セッション数も800を超え、クラウドネイティブ領域の広がりを強く感じるイベントでした。
Keynoteや各セッションを通じて特に印象的だったのは、Cloud Native技術がAIインフラの基盤として定着してきている点です。KubernetesはAI専用に設計されたものではありませんが、現在では多くのAI/MLワークロードを支えるプラットフォームとして活用されています。
トレンドとしては、AI推論基盤の標準化の進展、GPUを含めたエコシステムの拡大、そして「何をしたいか」を宣言するだけでシステムが構成されるような抽象化の進化が挙げられます。また、AIを活用した運用の取り組みも増えており、運用のあり方自体も変わりつつあることが感じられました。さらに、特定のクラウドやベンダーへの依存を避け、自律的にインフラをコントロールする「Sovereign」や「Strategic Autonomy」といった考え方も取り上げられていました。
全体としてAI関連のトピックが多く取り上げられていた一方で、金融や交通、宇宙開発など幅広い分野での活用事例も紹介されており、クラウドネイティブ技術の適用領域の広がりを実感しました。
LINEヤフーエンジニアによる登壇
今回のKubeCon EUでは、LINEヤフーから3つのセッションに登壇しました。いずれも、Kubernetesのスケーラビリティやインフラ運用、セキュリティといった領域に関する取り組みを紹介する内容となっています。
- Generalizing Kubernetes Controller Sharding: Patterns That Work Beyond Simple Operators
- Evolving Baremetal as a Service: Secure Multi-Cluster Networking and Service Identity Automation
- Exploring NRI for Automated CA Trust Injection
Generalizing Kubernetes Controller Sharding: Patterns That Work Beyond Simple Operators
本セッションでは、Kubernetes Controllerのスケーラビリティ課題に対して、Controller Shardingをどのように適用し、実運用の中でどのような試行錯誤を経て改善してきたかを紹介しました。
KubernetesのControllerはLeader Electionにより単一インスタンスが処理を担うため、水平方向のスケールに制約があります。この課題に対してShardingを導入することでスケーラビリティの改善を図る一方で、単純な分割では��逆にリソース消費や複雑性が増大するケースがあることも分かりました。
特に、Namespace単位での分割など初期のアプローチではスケールせず、Kubernetes APIのwatchの制約などを踏まえた設計が重要である点を中心に解説しました。また、Shardの設計や運用方法によっては、Shard再配置時に大量のラベル更新が発生し、APIサーバに負荷をかける「Write Storm」のような問題につながる可能性がある点についても紹介しました。
最終的には、Kubernetesの設計原則に沿った形でShardingを適用し、安定した運用を実現するための設計指針を整理しました。「Shardingは単に処理を分割することではない」という点が重要なポイントです。
Evolving Baremetal-as-a-Service: Secure Multi-Cluster Networking and Service Identity Automation
LINEヤフーの次世代プライベートクラウド「Flava」は、OpenStackをベースに構築されています。Control PlaneはKubernetes上で稼働し、マルチAZ・マルチリージョン構成により高い可用性を実現しています。
Flavaでは、仮想マシンに加えてBaremetal Serverもインスタンスとして提供しています。ユーザはインスタンス種別を意識せず、同一のAPIでリソースを作成・制御できます。
このような統一されたAPIを実現するために、VMで提供し��ている電源操作やOpenStackのmetadata連携といった機能をBaremetal Serverにも適用しています。その実装についても詳しく解説しました。
Baremetal Serverの提供においては、IPMI制御やOSインストールといった処理をKubernetesのReconciliationパターンで実装しています。これにより、大規模環境でも運用負荷を抑えています。
ネットワークとセキュリティの面では、Flava独自のVPCに基づくACL制御を提供しています。さらに、AthenZと連携し、X.509証明書の配布を自動化しています。
統一されたセキュリティモデルを適用することで、OpenStackクラスタ・IPMI制御クラスタ・OSインストールクラスタにまたがるKubernetesクラスタ間連携と、ベアメタルサーバへのアクセスの両方を、一貫して保護することができます。
これらを通じて、物理インフラであるBaremetal Serverをクラウドネイティブに扱うための設計と実装を紹介しました。
Exploring NRI for Automated CA Trust Injection
本セッションでは、社内プライベートCAを利用したサービス間通信において課題となる「コンテナへのCA証明書配布」を、Node Resource Interface(NRI)を用いて自動化するアプローチについて紹介しました。
従来、Kubernetes上のコンテナにプライベートCA証明書を取り込むには、Dockerfileの書き換えやinitContainerによ�る配布、ConfigMap等によるファイルマウントなど複数の方法があります。しかし、これらは運用コストがかかるだけでなく、OSごとのストアパスの違いや言語の仕様差を個別に考慮しなければならないという課題がありました。
そこで我々は、containerdの拡張機構であるNRIを利用し、コンテナ起動時にCA証明書を動的に注入するツールを開発しました。このツールは、NRIによってコンテナのライフサイクルイベントをフックし、イメージ内のOSや言語を判定した上で、適切な証明書の配置や環境変数の設定を行います。この機能はPodのannotation1つで有効化することができ、少ない対応コストでOSや言語の差異を意識することなくプライベートCAを信頼できます。
この取り組みを通じ、NRIがKubernetes環境における運用自動化に有用な拡張機構であることを紹介しています。
おわりに
本記事では、KubeCon EU への参加の様子と、LINEヤフーからの登壇内容について紹介しました。今後もこのような取り組みを通じて、クラウドネイティブ技術の発展に貢献していきます。
