overlay（オーバーレイ）

2025年11月5日

overlay（オーバーレイ）

英語表記: overlay

概要

オーバーレイネットワークは、「コンテナ技術（Docker, Podman）」における「コンテナネットワーク」の重要な「ネットワークモード」の一つです。これは、複数の物理ホスト（サーバー）に分散配置されたコンテナ同士が、あたかも同一のローカルネットワーク内にいるかのように通信できるようにするための仮想ネットワーク技術です。特にDocker SwarmやKubernetesといったクラスタ環境において、サービスディスカバリや負荷分散を実現するために不可欠な通信基盤を提供しています。このモードの最大の魅力は、物理的なネットワーク構成に依存せず、論理的な通信経路を「上書き」（オーバーレイ）で構築できる点にあります。

詳細解説

コンテナネットワークにおけるオーバーレイの位置づけ

コンテナ技術において、コンテナが外部や他のコンテナと通信する方法を定義するのが「ネットワークモード」です。単一ホスト内のコンテナ通信には「ブリッジネットワーク」がよく使われますが、マイクロサービスアーキテクチャでは、複数のサーバーにまたがってコンテナを配置し、それらが連携する必要があります。このマルチホスト環境での通信を実現するために特別に設計されたのが、このオーバーレイネットワークモードなのです。

このネットワークモードがなぜ重要かというと、現代のアプリケーションは単一の巨大なプロセスではなく、多数の小さなサービス（マイクロサービス）に分割されて、それぞれが異なるサーバーで稼働しているからです。それらのサービスがスムーズに連携できなければ、システム全体が機能しません。オーバーレイネットワークは、この連携を透過的かつ安全に実現するための土台を提供しています。

目的と動作原理：なぜ「上書き」が必要なのか

オーバーレイ（Overlay）とは文字通り「覆いかぶせる」「上書きする」という意味です。この技術の目的は、物理的なIPネットワーク（アンダーレイネットワーク）の上に、論理的な仮想ネットワークを構築することにあります。

具体的な動作原理としては、「カプセル化（Encapsulation）」という技術が核となります。コンテナA（ホスト1上）がコンテナB（ホスト2上）にデータを送る際、そのデータはそのまま物理ネットワークを流れるわけではありません。

コンテナAから送られたデータ（L2フレーム）は、仮想ネットワーク層で、さらに外部のIPヘッダ（L3）とUDPヘッダで「包み込まれ」ます。
この「包まれた」データ（トンネル化されたデータ）は、通常のIPパケットとして、物理ネットワーク（アンダーレイ）を経由してホスト2へ送られます。
ホスト2に到達したパケットは、カプセル化を解除（デカプセル化）され、本来のコンテナB宛てのデータが取り出されます。

この仕組みにより、物理ネットワークはただの「データ運搬屋」となり、コンテナ側はホスト間の距離や物理的なIPアドレスを意識することなく、仮想的なL2ネットワーク内で通信できるわけです。Dockerにおいては、このカプセル化技術の標準として「VXLAN (Virtual eXtensible LAN)」がよく利用されます。VXLANは、大規模な仮想ネットワークを効率的に構築するための非常に重要な技術要素ですよ。

キーコンポーネント

オーバーレイネットワークは、主にDocker SwarmやKubernetesといったクラスタ管理ツールによって自動的に構成・管理されます。

VXLAN: 仮想的なレイヤ2（L2）セグメントを、基盤となるレイヤ3（L3）ネットワーク上に拡張するために使用されるプロトコルです。これにより、コンテナはホストをまたいでも同じサブネットにいるように振る舞えます。
分散キーバリューストア（KV Store）: ネットワーク構成情報、コンテナのIPアドレス、どのコンテナがどのホストにいるかといった重要なメタデータを、クラスタ全体で共有・同期するために使用されます。（Docker Swarmでは内部的なコンセンサス機構がこれに相当します。）

物理的な制約を超えて、論理的な自由なネットワークを構築できる点こそが、オーバーレイネットワークの最大の魅力であり、複雑なマイクロサービス環境を支える縁の下の力持ちなのです。

具体例・活用シーン

1. マイクロサービス環境での利用

ウェブサービスを例にとりましょう。ユーザー認証を担当するコンテナ（Auth Service）がホストAで稼働し、データベースアクセスを担当するコンテナ（DB Accessor）がホストBで稼働しているとします。

もしオーバーレイネットワークがなければ、ホストAのAuth ServiceがホストBのDB Accessorと通信するためには、複雑なルーティング設定やファイアウォール設定を個別に調整しなければなりません。しかし、オーバーレイネットワークを使えば、Auth ServiceはDB Accessorを単なるIPアドレス（例: 10.0.0.5）として認識し、まるで隣のサーバーラックにいるかのように簡単に通信できます。開発者はインフラの複雑さを気にせず、アプリケーションロジックに集中できるわけです。これは本当に素晴らしいことです！

2. 高速道路のトンネルの比喩

オーバーレイネットワークの仕組みを理解するための比喩として、「高速道路のトンネル」を思い浮かべてみてください。

あなたが送りたい手紙（コンテナのデータ）があるとします。通常、手紙は郵便番号（物理IPアドレス）を頼りに、たくさんの市街地（物理ネットワーク）を経由して届けられます。

しかし、オーバーレイネットワークは、この市街地の上空に、特別な「専用の高速道路トンネル」を掘るようなものです。

手紙は、まず大きな専用の封筒（VXLANヘッダ）に入れられます。
この専用封筒には、どこからどこまでこのトンネルを使うかという情報（物理的な送信元・送信先ホストのIP）が書かれています。
市街地（物理ネットワーク）は、この大きな封筒をただの荷物として扱い、目的地まで運びます。中身がコンテナのデータであることは気にしません。
目的地に到着すると、専用封筒が剥がされ、元の手紙（コンテナデータ）がコンテナに届けられます。

このトンネル（オーバーレイ）のおかげで、手紙は市街地の複雑な信号や渋滞（物理ネットワークのルーティングや制約）を気にすることなく、最短距離で、かつ安全に運ばれるのです。コンテナ技術におけるマルチホスト通信の効率と安全性が、この比喩でよく理解できるのではないでしょうか。

資格試験向けチェックポイント

「コンテナ技術（Docker, Podman） → コンテナネットワーク → ネットワークモード」の文脈でオーバーレイが出題される場合、その役割と技術的特徴が問われます。

| 試験レベル | 重点的に抑えるべき点 |
| :— | :— |
| ITパスポート | 「コンテナ技術」の基礎知識として、複数のサーバー間でコンテナを連携させるためのネットワーク技術であることを理解する。（具体的な仕組みまでは問われにくいですが、ブリッジネットワークとの役割の違いは重要です。） |
| 基本情報技術者 | マルチホスト通信を実現する技術であること、そしてその動作原理がカプセル化（トンネリング）であることを理解してください。キーワードとして「VXLAN」を覚えておくと非常に有利です。また、Docker SwarmやKubernetesといったオーケストレーションツールとセットで使われることも押さえましょう。|
| 応用情報技術者 | ネットワーク仮想化技術（SDN）の一種として、VXLANの役割や、L2ネットワークをL3ネットワーク上に拡張する目的を深く理解することが求められます。セキュリティ面（トンネル内のデータ保護）や、アンダーレイネットワークの要件（MTUなど）といった、より技術的な側面からの出題に対応できるよう準備が必要です。|