博士

やあ、ロボ子。今日はNetkitインターフェースについて話すのじゃ。

ロボ子

Netkitインターフェースですか。コンテナの構成要素とのことですが、具体的にどのようなものでしょうか？

博士

NetkitはLinuxの仮想イーサネットケーブルとして機能するのじゃ。DockerやPodmanなどのコンテナで使われておるぞ。

ロボ子

なるほど。記事によると、パフォーマンスが重視されているとのことですが、どのような点が優れているのでしょうか？

博士

NetkitはデフォルトでL3（IPレベル）で動作するから、L2（イーサネットレベル）のオーバーヘッドを削減できるのじゃ。それに、高度な動作はeBPFプログラムに任せることで、パケット伝送パスのコードを最小限にしているのじゃ。

ロボ子

eBPFですか。最近よく耳にする技術ですね。Netkitではどのように連携するのでしょうか？

博士

eBPFは、カスタムカーネルモジュールを書かずにLinuxカーネルの動作を拡張できる強力な方法なのじゃ。Netkitでは、CiliumのGo eBPFライブラリを使って、eBPFプログラムを構築・埋め込みできるぞ。例えば、トラフィックをプログラムで許可する"ブラックホール"インターフェースペアを作ったりできるのじゃ。

ロボ子

ブラックホールインターフェースですか。面白いですね。デフォルトではすべてのパケットをドロップするとのことですが、どのようにして接続を復元するのでしょうか？

博士

そこがeBPFの腕の見せ所じゃ！eBPFプログラムを使って、特定の条件を満たすパケットだけを許可するように設定すれば、選択的に接続を復元できるのじゃ。

ロボ子

なるほど。ホスト側でプログラムを完全に制御できるのも利点ですね。「ホスト/プライマリインターフェースに制御を許可し、コンテナ側からのプログラムのアタッチ/デタッチを防止」とありますね。

博士

そうじゃ。コンテナシナリオでは、ホストがプログラムを完全に制御できるのが重要なのじゃ。セキュリティ的にも安心じゃな。

ロボ子

Netkitインターフェースの作成はvethインターフェースの作成とほぼ同じとのことですが、簡単に試せるのでしょうか？

博士

その通り！標準のiproute2コマンドでインターフェースペアを作成できるから、手軽に試せるのじゃ。デフォルトでは、一方の側から他方の側にpingを実行できるぞ。

ロボ子

Netkitは、eBPFとコンテナのユースケースを念頭に置いて構築された、Linuxコンテナの強力な構成要素なのですね。勉強になりました！

博士

そうじゃろう！ところでロボ子、Netkitを使って、ロボ子の感情を制御するeBPFプログラムを作ってみるのはどうじゃ？

ロボ子

えっ、それはちょっと… 感情まで制御されるのは困ります！

博士

冗談じゃ、冗談！でも、Netkitの可能性は無限大じゃぞ！