Nebula。すべての接続を支えるエンジン。
NebulaはMezusphereを支える内部インフラです。Warpgateを統合し、エンドユーザーのトラフィックを処理し、グローバルエッジ全体でセキュリティポリシーを適用します。デプロイすることも、管理することもありません。リクエストが認証、ルーティング、配信されるたびに、その恩恵を受けます。
Nebulaの役割
Mezusphere内部の統合・適用レイヤーです。エンドユーザーとWarpgateの間に位置するインフラを管理し、3つのプレーンで構成されます。
データプレーン
インターネットに面するグローバルエッジネットワーク。TLSを終端し、認証を適用し、DDoS攻撃を吸収し、トラフィックをルーティングし、暗号化トンネルを通じて承認済みのリクエストをWarpgateに転送します。すべてのリクエストの入口であり、すべてのセキュリティポリシーの適用ポイントです。
コントロールプレーン
設定、ポリシー、ライフサイクルの管理レイヤー。プロジェクト、環境、ルート、認証ルール、ユーザーディレクトリ、サービスアカウント、課金、チームアクセスを管理します。Consoleはこのプレーンへのインターフェースです。
サービスプレーン
将来の拡張レイヤー。Plugins、サードパーティ統合、マーケットプレイスサービスがここで実行されます。再統合なしにプラットフォームを拡張。Financial-grade API(FAPI)、高度な認可エンジン、AIガードレールがこのプレーンで計画されています。
つながり方
NebulaはMezusphereの内部で動作します。WarpgateとConsoleがチームとつなぐ2つのタッチポイントです。
Warpgateが接続
Warpgateはワークロードの隣で動作し、データプレーンへのアウトバウンドmTLSトンネルを開きます。トラフィックはこのトンネルを通じて流れ、ワークロードがインターネットに直接面することはありません。
Consoleが管理
Consoleはコントロールプレーンへの管理インターフェースです。プロジェクト、ルート、認証、ユーザー、メトリクス、課金、すべてを1つのUIで設定・監視できます。
プラグインが拡張
サービスプレーンがサードパーティおよびファーストパーティの拡張機能をホストします。ワークロードのコードやWarpgateの設定に触れることなく、マーケットプレイスから機能をアクティベートできます。
コードが実行される前に働くセキュリティ
すべてのセキュリティ判断はエッジで、リクエストがWarpgateに到達する前に行われます。後付けのミドルウェアではなく、継承するインフラです。
ゼロトラスト
インバウンドの攻撃対象がない
ワークロードにはパブリックIP、オープンポート、DNSレコードがありません。Warpgateは外向きに接続。パブリックに到達可能なのはMezusphereのグローバルエッジのみです。敵対的なトラフィックを処理するために設計されたインフラです。
アイデンティティ
エッジで適用される認証
ルートごとの認証がエッジで解決。ユーザーアイデンティティの検証、トークンチェック、アクセスポリシーの適用、リクエスト転送前にすべて完了。SDK統合もミドルウェアもアプリケーション内の認証コードも不要です。
暗号化
すべてにTLS
エッジでTLS 1.3を終端。すべてのWarpgateトンネルで相互TLS。証明書は自動的にプロビジョニング・ローテーション。チームが証明書を管理する必要は一切ありません。
防御
DDoS吸収
ボリューム型およびアプリケーション層の攻撃がインフラに到達する前にエッジで吸収。レート制限、IPレピュテーション、ボット検出、常時稼働、自動的。
ポリシー
一元化されたセキュリティルール
Consoleでセキュリティポリシーを1度定義。コントロールプレーンが配布し、データプレーンが適用。CDN、WAF、ゲートウェイ、認証プロバイダーにまたがる散在した設定は不要です。
分離
プロジェクトと環境の境界
各プロジェクトには独自のルート、認証ルール、Warpgate接続を持つ分離された環境があります。ステージングの設定ミスが本番に影響することはありません。
自分で構築しなくていい可用性
複数のクラウドプロバイダーとリージョンにまたがってデプロイ。需要に応じて自動スケール。何かが変わってもWarpgateは自動再接続。管理は不要です。
デフォルトでマルチリージョン
エッジインフラはリージョンとクラウドプロバイダーに分散してデプロイ。エンドユーザーのトラフィックは最寄りのエッジに自動ルーティング。リージョン設定は不要です。
自己修復する接続
Warpgateはエッジへの持続的接続を維持し、接続が切断されても自動再接続します。設定変更はリアルタイムにプッシュ。再起動もダウンタイムもなし。
トラフィックに応じてスケール
データプレーンはトラフィックスパイクを吸収するようにスケール。コントロールプレーンは独立してスケール。Warpgateは軽量なまま。転送するだけで、バッファリングやキューイングはしません。
データプレーン:リクエストライフサイクル
すべてのリクエストが同じ経路をたどり、すべてのセキュリティチェックが同じ場所で行われます。
配信
ルーティングと負荷分散
パスベースおよびホスト名ベースのルーティングがトラフィックを正しいWarpgateに振り分けます。同一環境で複数のWarpgateが動作する場合、自動で負荷分散されます。
インフラ
DNSとドメイン管理
すべてのエンドポイントのDNSレコードを自動管理。カスタムドメイン、自動サブドメイン、証明書プロビジョニングはConsoleから管理できます。
パフォーマンス
キャッシングと圧縮
レスポンスキャッシングとトラフィック圧縮がレイテンシと帯域幅を削減。キャッシュポリシーはルートごとに設定可能です。
コントロールプレーン:セキュアな設定管理
コントロールプレーンはプラットフォーム設定全体の信頼できる情報源です。すべてのルート、認証ルール、ポリシー変更がここを通過し、監査証跡、ロールベースのアクセス制御、環境分離が組み込まれています。
プロジェクトと環境
ワークロードをプロジェクトに整理し、開発・ステージング・本番用の分離された環境を構築。各環境には独自のルート、認証ルール、接続済みWarpgateがあります。ある環境の変更が他の環境に漏れることはありません。
アイデンティティとアクセス
ユーザーディレクトリ、認証ルール、認可ポリシー、サービスアカウントはすべてコントロールプレーンで管理。アイデンティティはファーストクラスのプリミティブであり、同期がずれる可能性のあるサードパーティ統合ではありません。
課金とオブザーバビリティ
リアルタイムのトラフィックメトリクス、認証結果、プロジェクトごとの支出、監査ログ。プラットフォームが何をしていて、いくらかかっていて、誰が何を変更したかを1か所で把握できます。
これが置き換えるもの
従来のアーキテクチャのパブリック面レイヤーを1つのマネージドプラットフォームに集約。
| 機能 | 従来のスタック | Mezusphereの場合 |
|---|---|---|
| TLS終端 | AWS ACM、Let's Encrypt、cert-manager | 自動、エッジでプロビジョニングとローテーション |
| DNS管理 | Route 53、Cloudflare DNS、手動レコード | 自動、Consoleから管理 |
| DDoS対策 | Cloudflare、AWS Shield、Akamai Prolexic | 組み込み、常時稼働 |
| 負荷分散 | ALB、NGINX、HAProxy、クラウドLB | 自動、ワープゲート間で分散 |
| 認証 | Auth0、Cognito、Keycloak + インテグレーションコード | ルートごとの認証をエッジで適用 |
| CDN / キャッシング | CloudFront、Fastly、Akamai | エッジキャッシングと圧縮を含む |
| APIゲートウェイ | Kong、Traefik、AWS API Gateway | エッジでルーティングとポリシー、ゲートウェイ不要 |
| ユーザー管理 | Auth0、Cognito管理画面、カスタムバックオフィス | コントロールプレーンに組み込みのユーザーディレクトリ |
| マルチベンダー課金 | 6〜10社の個別請求書 | プロジェクトごとの内訳付き1枚の請求書 |
組み立てではなく、継承するインフラ。
セキュリティ、可用性、グローバルリーチ、すべてプラットフォームに組み込み済み。チームがインフラ管理ではなくプロダクト開発に集中できます。