Gateway API導入で失敗しない！KuadrantとKeycloakで実現するセキュアバイデフォルト設計 (ショート版)

Hitachi Group Company Gateway API導入で失敗しない！ KuadrantとKeycloakで実現する セキュアバイデフォルト設計 2025/12/8 株式会社日立製作所 マネージド＆プラットフォームサービス事業部 ＡＩサービス本部 アーキテクチャセンタ 松田 元輝 ©Hitachi, Ltd. 2025. All rights reserved

Introduction 自己紹介 松田 元輝 (まつだ げんき) @maki_644 島根県在住 Kubestronaut https://www.cncf.io/training/kubestronaut/ 2 Cloud Native Platform Engineering Japan Kickoff | Gateway API導入で失敗しない！KuadrantとKeycloakで実現するセキュアバイデフォルト設計 ©Hitachi, Ltd. 2025. All rights reserved

• https://x.com/maki_644
• https://www.cncf.io/training/kubestronaut/

Introduction 今回の前提 3 Cloud Native Platform Engineering Japan Kickoff | Gateway API導入で失敗しない！KuadrantとKeycloakで実現するセキュアバイデフォルト設計 ©Hitachi, Ltd. 2025. All rights reserved

Introduction 今回の前提 あなたは家族と共に暮らすプラットフォームエンジニア。 あなた 優しい伴侶 娘: クベ子 画像: いらすとや https://www.irasutoya.com/ 4 Cloud Native Platform Engineering Japan Kickoff | Gateway API導入で失敗しない！KuadrantとKeycloakで実現するセキュアバイデフォルト設計 ©Hitachi, Ltd. 2025. All rights reserved

• https://www.irasutoya.com/

Introduction 今回の前提 あなたは家族と共に暮らすプラットフォームエンジニア。 休日の過ごし方は家庭仲良くアプリケーション開発 をすること。 5 Cloud Native Platform Engineering Japan Kickoff | Gateway API導入で失敗しない！KuadrantとKeycloakで実現するセキュアバイデフォルト設計 ©Hitachi, Ltd. 2025. All rights reserved

Introduction 今回の前提 しかし、クベ子が思春期に入り 「パパと同じNamespaceはイヤ！」 というようになりました。 ※クベ子(中学生) 6 Cloud Native Platform Engineering Japan Kickoff | Gateway API導入で失敗しない！KuadrantとKeycloakで実現するセキュアバイデフォルト設計 ©Hitachi, Ltd. 2025. All rights reserved

Introduction 今回の前提 そこであなたはクベ子に専用のNamespaceを与える ことにしました。 7 Cloud Native Platform Engineering Japan Kickoff | Gateway API導入で失敗しない！KuadrantとKeycloakで実現するセキュアバイデフォルト設計 ©Hitachi, Ltd. 2025. All rights reserved

Introduction 今回の前提 そこであなたはクベ子に専用のNamespaceを与える ことにしました。 問題はIngress。親として過干渉はしたくないが、クベ 子にアプリケーションの公開を全て任せることに不安な あなた。 ああ～、どうにかして基本的なセキュリティを担保しつつ、 アプリケーションの公開をクベ子に任せることはできないものか。。。 こんな時、イクメン プラットフォームエンジニアまつださえいれば。。。 8 Cloud Native Platform Engineering Japan Kickoff | Gateway API導入で失敗しない！KuadrantとKeycloakで実現するセキュアバイデフォルト設計 ©Hitachi, Ltd. 2025. All rights reserved

Introduction 今回の前提 そこであなたはクベ子に専用のNamespaceを与える ことにしました。 問題はIngress。親として過干渉はしたくないが、クベ 子にアプリケーションの公開を全て任せることに不安な あなた。 Gateway API Kuadrant Keycloak で解決してみせましょう 9 Cloud Native Platform Engineering Japan Kickoff | Gateway API導入で失敗しない！KuadrantとKeycloakで実現するセキュアバイデフォルト設計 ©Hitachi, Ltd. 2025. All rights reserved

Contents - 現状の課題とめざしたい姿 - Gateway API概要説明 - デモ - KuadrantとKeycloakの概要説明 - デモ - まとめ 10 Cloud Native Platform Engineering Japan Kickoff | Gateway API導入で失敗しない！KuadrantとKeycloakで実現するセキュアバイデフォルト設計 ©Hitachi, Ltd. 2025. All rights reserved

現状の課題とめざしたい姿 11 Cloud Native Platform Engineering Japan Kickoff | Gateway API導入で失敗しない！KuadrantとKeycloakで実現するセキュアバイデフォルト設計 ©Hitachi, Ltd. 2025. All rights reserved

現状の課題とめざしたい姿 現状の課題: - アプリケーションのルーティングや細かいセキュリ ティ設定はクベ子にやらせたい - ただ、クベ子にIngressの全機能を触らせるの は避けたい めざしたい姿: デフォルトで最低限のセキュリティが担保されてる 状態を作りつつ、クベ子がアプリケーションの公開 やルーティング、細かいセキュリティの設定を自分で やれるようにする。 12 Cloud Native Platform Engineering Japan Kickoff | Gateway API導入で失敗しない！KuadrantとKeycloakで実現するセキュアバイデフォルト設計 ©Hitachi, Ltd. 2025. All rights reserved

現状の課題とめざしたい姿 (プラットフォームエンジニアリングで置き換えて考える) 現状の課題: プラットフォームチーム - アプリケーションのルーティングや細かいセキュリ ティ設定はクベ子(プロダクトチーム)にやらせたい - ただ、クベ子(プロダクトチーム)にIngressの全機 能を触らせるのは避けたい めざしたい姿: デフォルトで最低限のセキュリティが担保されてる 状態を作りつつ、クベ子(プロダクトチーム)がアプリ ケーションの公開やルーティング、細かいセキュリティ の設定を自分でやれるようにする。 13 プロダクトチーム Cloud Native Platform Engineering Japan Kickoff | Gateway API導入で失敗しない！KuadrantとKeycloakで実現するセキュアバイデフォルト設計 ©Hitachi, Ltd. 2025. All rights reserved

Gateway API概要説明 14 Cloud Native Platform Engineering Japan Kickoff | Gateway API導入で失敗しない！KuadrantとKeycloakで実現するセキュアバイデフォルト設計 ©Hitachi, Ltd. 2025. All rights reserved

Gateway APIの概要説明 Gateway APIとは Gateway APIはIngressに代わるKubernetesの新しいネットワークAPIで、より柔軟で拡張性の高いトラフィック管理を実現する。 Ingressでは権限分離が難しい - プロダクトチームがIngressを作成する権限を持つ場合、認証がかかっていない状態でアプリケーションを公開される可能性がある。 - 対して、プラットフォームチームがIngressの権限を握ってしまうと、プロダクトチームが細かいルーティングを設定できない。 Gateway APIはロール指向で、プラットフォームチームとプロダクトチームの管理するリソースを分けている。 15 Cloud Native Platform Engineering Japan Kickoff | Gateway API導入で失敗しない！KuadrantとKeycloakで実現するセキュアバイデフォルト設計 ©Hitachi, Ltd. 2025. All rights reserved

Gateway APIの概要説明 Gateway APIの構成要素 クライアント Gateway: ロードバランサーをデプロイする。プラットフォームチームが管 理する。 HTTPRoute: GatewayからServiceへのルーティングを定義するリ ソース。プロダクトチームが管理する。 リクエスト プラットフォームチームがメンテ Gateway プロダクトチームがメンテ HTTP Route 16 Cloud Native Platform Engineering Japan Kickoff | Gateway API導入で失敗しない！KuadrantとKeycloakで実現するセキュアバイデフォルト設計 ©Hitachi, Ltd. 2025. All rights reserved

デモ 17 Cloud Native Platform Engineering Japan Kickoff | Gateway API導入で失敗しない！KuadrantとKeycloakで実現するセキュアバイデフォルト設計 ©Hitachi, Ltd. 2025. All rights reserved

デモ クライアント Gatewayのマニフェスト リクエスト Gateway HTTP Route 18 Cloud Native Platform Engineering Japan Kickoff | Gateway API導入で失敗しない！KuadrantとKeycloakで実現するセキュアバイデフォルト設計 ©Hitachi, Ltd. 2025. All rights reserved

デモ クライアント HTTPRouteのマニフェスト リクエスト Gateway HTTP Route 19 Cloud Native Platform Engineering Japan Kickoff | Gateway API導入で失敗しない！KuadrantとKeycloakで実現するセキュアバイデフォルト設計 ©Hitachi, Ltd. 2025. All rights reserved

KuadrantとKeycloakの概要説明 20 Cloud Native Platform Engineering Japan Kickoff | Gateway API導入で失敗しない！KuadrantとKeycloakで実現するセキュアバイデフォルト設計 ©Hitachi, Ltd. 2025. All rights reserved

KuadrantとKeycloakの概要説明 クライアント Kuadrant: Gateway APIのGatewayやHTTPRouteに、認証認可、 レートリミットなどのポリシーをかけることのできるOSSプロジェクト。 AuthPolicy: GatewayやHTTPRouteそれぞれに対し、認証認可の ポリシーを設定することができる。 Authorino: Kuadrantの認証認可エンジン。実際にGatewayへのト ラフィックに対して、AuthPolicyに書かれた認証認可ポリシーに従って いるか判断する。つまり、Policy Decision Pointとして動作する。 リクエスト トークン発行リクエスト /w トークン プラットフォームチームがメンテ Auth Policy Gateway 認可 Authorino In Kuadrant トークン検証 Keycloak プロダクトチームがメンテ Auth Policy HTTP Route Keycloak: オープンソースのIDアクセス管理システム。Kuadrantと連 携し、APIの認可を提供する。また、トークンの発行を行う。 21 Cloud Native Platform Engineering Japan Kickoff | Gateway API導入で失敗しない！KuadrantとKeycloakで実現するセキュアバイデフォルト設計 ©Hitachi, Ltd. 2025. All rights reserved

デモ 22 Cloud Native Platform Engineering Japan Kickoff | Gateway API導入で失敗しない！KuadrantとKeycloakで実現するセキュアバイデフォルト設計 ©Hitachi, Ltd. 2025. All rights reserved

デモ クライアント Gatewayに対するAuthPolicy リクエスト Gateway APIの機能だけでは、認可がかかっていないため、 リクエストが素通りしている状態。 デフォルトで最低限のセキュリティが担保されるよう、 Gatewayに対してトークン検証（今回はトークンイントロス ペクション）をするAuthPolicyを適用する。 Auth Policy Gateway 認可 Authorino In Kuadrant トークン イントロスペクション Keycloak HTTP Route 23 Cloud Native Platform Engineering Japan Kickoff | Gateway API導入で失敗しない！KuadrantとKeycloakで実現するセキュアバイデフォルト設計 ©Hitachi, Ltd. 2025. All rights reserved

デモ クライアント Gatewayに対するAuthPolicy トークン発行リクエスト リクエスト /w トークン Auth Policy AuthPolicyの適用 対象を指定 Gateway 認可 Authorino In Kuadrant トークン イントロスペクション Keycloak HTTP Route トークン検証の設定 24 Cloud Native Platform Engineering Japan Kickoff | Gateway API導入で失敗しない！KuadrantとKeycloakで実現するセキュアバイデフォルト設計 ©Hitachi, Ltd. 2025. All rights reserved

pappa クライアント kubeko クライアント デモ Gatewayに対するAuthPolicy トークン発行リクエスト リクエスト リクエスト /w トークン 〇 × Auth Policy Gateway Auth Policy HTTP Route /w トークン 認可 Authorino In Kuadrant トークン イントロスペクション Keycloak 実はpappaクライアント(パパ)がアクセスしてた kubekoクライアント(クベ子)のみに絞りたい (# ﾟДﾟ) 25 Cloud Native Platform Engineering Japan Kickoff | Gateway API導入で失敗しない！KuadrantとKeycloakで実現するセキュアバイデフォルト設計 ©Hitachi, Ltd. 2025. All rights reserved

pappa クライアント kubeko クライアント デモ HTTPRouteに対するAuthPolicy トークン発行リクエスト リクエスト リクエスト /w トークン HTTPRouteにクライアントkubekoだけ許可する設定をする。 〇 × Auth Policy Gateway Auth Policy HTTP Route /w トークン 認可 Authorino In Kuadrant トークン イントロスペクション Keycloak ♪ 26 Cloud Native Platform Engineering Japan Kickoff | Gateway API導入で失敗しない！KuadrantとKeycloakで実現するセキュアバイデフォルト設計 ©Hitachi, Ltd. 2025. All rights reserved

まとめ 27 Cloud Native Platform Engineering Japan Kickoff | Gateway API導入で失敗しない！KuadrantとKeycloakで実現するセキュアバイデフォルト設計 ©Hitachi, Ltd. 2025. All rights reserved

Ending まとめ pappa クライアント kubeko クライアント トークン発行リクエスト リクエスト リクエスト /w トークン Namespaceの管理をクベ子に移譲しつつ、API公 開の基本的なセキュリティを担保することができました。 今回のポイント: 〇 × Auth Policy Gateway Auth Policy HTTP Route /w トークン 認可 Authorino In Kuadrant トークン イントロスペクション Keycloak – プラットフォームエンジニアリングのようなプラットフォー ムチームとプロダクトチームの役割を明確に区別した い場合、Gateway APIが有効な手段となる。 – さらに、Kuadrantを使うことで、APIのセキュリティが デフォルトで担保された状態を作ることができる。 28 Cloud Native Platform Engineering Japan Kickoff | Gateway API導入で失敗しない！KuadrantとKeycloakで実現するセキュアバイデフォルト設計 ©Hitachi, Ltd. 2025. All rights reserved

Ending 商標表示 KubernetesはThe Linux Foundationの登録商標です。 KubestronautはThe Linux Foundationの商標です。 KeycloakはThe Linux Foundationの商標です。 KuadrantはThe Linux Foundationの商標です。 EnvoyはThe Linux Foundationの商標です。 その他記載の会社名、製品名などは、それぞれの会社の商標もしくは登録商標です。 29 Cloud Native Platform Engineering Japan Kickoff | Gateway API導入で失敗しない！KuadrantとKeycloakで実現するセキュアバイデフォルト設計 ©Hitachi, Ltd. 2025. All rights reserved

連載記事: Kubernetesで始める 実践プラットフォームエンジニアリング @maki_644 ※本資料は大西配列で書かれました。 Cloud Native Platform Engineering Japan Kickoff | Gateway API導入で失敗しない！KuadrantとKeycloakで実現するセキュアバイデフォルト設計 ©Hitachi, Ltd. 2025. All rights reserved

• https://thinkit.co.jp/series/11946
• https://x.com/maki_644
• https://o24.works/layout/